دشمنان کارت‌های هوشمند در راهند

نویسنده: رسول قربانی در تاریخ 18 تیر سال 1391 ساعت 9:00 0

عليرضا حقيقت طرقي. كارشناس امنيت امن افزارگستر شريف؛

بدافزار Skyipot ابزاری برای حمله به کارت‌های هوشمند؛

طی سال‌های گذشته استفاده از کارت‌های هوشمند و جایگزینی این کارت‌ها با کارت‌های مغناطیسی در دستور کاری بسیاری از بانک‌ها قرار گرفته است و برای آن مزایای بسیاری در نظر می‌گیرند از جمله دارا بودن حجم قابل توجهی حافظه که می‌تواند برخی از اطلاعات دارنده کارت را درون خود ذخیره کند، از سویی بسیاری از کارشناسان ایمن بودن این کارت‌ها را در مقایسه با کارت‌های مغناطیسی دلیل دیگری بر لزوم استفاده از این نوع کارت‌ها می‌دانند اما این تمام ماجرا نیست چرا که بدافزارهایی برای حمله به این نوع از کارت‌های بانکی طراحی شده‌اند.

حملات انجام‌شده به کارت‌های هوشمند را می‌توان در چند دسته تقسیم کرد:

• حملات تحلیل جانبی

• حملات ایجاد خطا

• حملات عبور از لایه محافظتی تراشه کارت

• بدافزارها و ویروس‌ها

در این مقاله به بررسی یک ویروس که برای حمله به کارت‌های هوشمند طراحی شده می‌پردازیم. بدافزار Skyipot برای حمله به کاربران وزارت دفاع آمریکا و کارت‌های هوشمند ویندوزی طراحی شده است. این بدافزار از طریق حمله فیشینگ گسترش می‌یابد. حمله‌ فیشینگ معمولا به حملاتی اطلاق می‌شود که در آن حمله‌کننده با ایجاد یک وب‌سایت جعلی (مشابه وب‌سایت اصلی) اقدام به سرقت اطلاعات کاربران یک وب‌سایت می‌کند. حمله فیشینگ استفاده‌شده برای گسترش این بدافزار با قالب عمومی حملات فیشینگ متفاوت است، در این حمله یک ایمیل حاوی یک فایل PDF مخرب به کارمندان شرکت هدف فرستاده می‌شود. عنوان این فایل‌ها به صورتی انتخاب شده که کارمندان را تشویق به باز کردن فایل‌ها می‌کند و همچنین محتوای ظاهری این فایل‌ها نیز متناسب با عنوان فایل‌ها و زمینه‌کاری شرکت هدف انتخاب شده است، در نتیجه حتی پس از باز کردن فایل‌ها نیز کاربران به قصد حمله‌کنندگان پی نمی‌برند.

پس از باز شدن فایل PDF در نرم‌افزار Adobe، بدافزار Skyipot از یک آسیب‌پذیری روز-صفر(Zero-day) در Adobe استفاده کرده و وارد کامپیوتر قربانی می‌شود. آسیب‌پذیری روز-صفر به آسیب‌پذیری گفته می‌شود که غیر از فردی که آن را کشف کرده و افرادی که آن را خریداری کرده‌اند، فرد دیگری از آن آگاه نیست. این بدافزار پس از ورود به کامپیوتر قربانی، ابتدا اطلاعات وی را به منظور ورود به شبکه (از طریق اطلاعات قربانی) سرقت می‌کند. بدین منظور Skyipot اقدام به سرقت PINهای کارت‌ها و گواهینامه‌ آنها می‌کند، این بدافزار برای سرقت PINها از یک «ثبت‌کننده کلید (Key logger)» استفاده می‌کند. بدافزار Skyipot فرمان‌ها و برخی اطلاعات مورد نیاز خود را از سرورهای «دستور و کنترل» دریافت می‌کند. این بدافزار پس از جمع‌آوری اطلاعات مورد نیاز، می‌تواند با جعل هویت قربانی به منابع محافظت‌شده شبکه دسترسی یابد و چون این دسترسی از طریق کامپیوتر قربانی و در زمان حضور وی رخ می‌دهد، امکان تشخیص این استفاده بدخواهانه از استفاده صحیح دشوار است.

در نتیجه این حمله، حمله‌کننده موفق به دور زدن فرآیند احراز هویت دومولفه‌ای می‌شود و این بیانگر این نکته است که یک احراز هویت دومولفه‌ای صحیح، بدون داشتن یک مولفه فیزیکی که قابل دسترسی دیجیتال نباشد، امکان‌پذیر نیست.

برخی کارشناسان ادعا می‌کنند اطلاعاتی در اختیار دارند که نشان می‌دهد این حمله از کشور چین انجام شده است. برخی از این اطلاعات عبارت است از:

• حداقل شش سرور در چین به عنوان سرور یا پروکسی سرورهای «دستور و کنترل» استفاده می‌شدند.

• از برخی ابزارهای چینی در روند این حمله استفاده شده است.

• سرورهای «دستور و کنترل» از یک وب‌سرور چینی استفاده می‌کردند.

• از دامنه‌های ثبت‌شده در چین در این حمله استفاده شده است.

با توجه به مجموعه‌ شواهد فوق، برخی کارشناسان معتقدند این ابزار از طرف چینی‌ها و به منظور سرقت اطلاعات محرمانه نظامی آمریکا استفاده شده است.

حملاتی از این دست، اهمیت مقابله با حملات فیشینگ را نشان می‌دهد. یکی از مهم‌ترین راه‌های مقابله با حملات فیشینگ، آموزش کاربران است. یک کاربر باید بداند تنها با باز کردن یک فایل پیوست‌شده در یک ایمیل (بدون اینکه وی پس از باز کردن فایل پیوستی، عملیات مشکوکی در کامپیوتر خود مشاهده کند)، ممکن است محرمانگی مهم‌ترین اطلاعات موجود در کامپیوتر وی و حتی شبکه‌ای که به آن متصل است، در معرض یک خطر جدی قرار بگیرند.

منبع: عصر ارتباط؛ ویژه نامه بانکداری الکترونیکی؛ تیرماه 91