«نه» بزرگ قربانیان باج‌افزار به هکرها؛ نگاهی به گزارش نشت داده ۲۰۲۵ ورایزن

به بیان ساده‌تر، کارمندان اطلاعات محرمانه شرکت را در چت‌بات‌های هوش مصنوعی عمومی وارد می‌کنند، بدون اینکه نگران عواقب آن باشند. این می‌تواند به‌اندازه یک حمله سایبری خارجی برای سازمان‌ها خطرناک باشد.

گزارش ورایزن حوادث امنیتی را براساس الگوهای رایج طبقه‌بندی می‌کند:

کارشناسان بزرگ‌ترین و رایج‌ترین الگوی حمله را نفوذ به سیستم می‌دانند که در ۷۵ درصد از موارد با باج‌افزارها همراه‌اند. در این دسته حملات معمولاً ترکیبی از هک، بدافزار و گاهی مهندسی اجتماعی به کار گرفته می‌شوند.

هکرها برای نفوذ اولیه در حملات باج‌افزاری معمولاً از سه روش استفاده می‌کنند: سوءاستفاده از رمزهای عبور، بهره‌برداری از آسیب‌پذیری‌ها و فیشینگ. هرچند استفاده از آسیب‌پذیری‌ها در حملات باج‌افزاری نسبت به اوج سال گذشته که تحت‌تأثیر آسیب‌پذیری MOVEit بود، کاهش‌یافته، اما همچنان نرخ بسیار بالایی دارد و از سال ۲۰۲۲ تا کنون دوبرابر شده است.

حملات Magecart که سایت‌های فروش آنلاین را برای سرقت اطلاعات پرداخت هک می‌کنند، بخش دیگری از این الگو هستند. این حملات فقط یک درصد از موارد نفوذ به سیستم را تشکیل می‌دهند، اما ۸۰ درصد از نشت‌های مربوط به کارت‌های پرداخت از این طریق انجام می‌شود. هکرها معمولاً سایت‌های کوچک‌تر (با میانگین ۷ هزار بازدیدکننده ماهانه) را هدف می‌گیرند و زمان آلودگی کوتاهی دارند (معمولاً کمتر از ۳۰ روز).

در حملاتی که با انگیزه‌ی جاسوسی انجام می‌شود، مهاجمان بیشتر از اطلاعات کاربری دزدیده‌شده و بدافزار برای ماندن در سیستم و حرکت در داخل شبکه استفاده می‌کنند.

مهندسی اجتماعی همچنان یکی از الگوهای اصلی حملات باقی‌مانده و در ۱۶ تا ۲۲ درصد از نشت‌های داده نقش دارد. فیشینگ و ترفندهای متقاعدسازی، تکنیک‌های اصلی در این دسته هستند.

جاسوسی یکی از انگیزه‌های مهم در این الگو محسوب می‌شود (۵۲ درصد از موارد)، درحالی‌که انگیزه‌های مالی هم تقریباً به همان اندازه قوی هستند (۵۵ درصد) و گاهی مهاجمان هر دو هدف را با هم دنبال می‌کنند، مخصوصاً گروه‌هایی که به دولت‌ها وابسته‌اند.

حدود ۴ درصد از کل نفوذها هم تکنیک‌های پیشرفته‌ی دور زدن احراز هویت دوعاملی دیده می‌شود، مثل:

• حملات AiTM یا مهاجم در میانه‌ی مسی: وقتی هکر خودش را بین کاربر و سرویس اصلی قرار می‌دهد بدون اینکه کاربر متوجه شود.
• Password Dumping یا سرقت رمزهای عبور
• SIM Swapping یا تعویض سیم‌کارت، وقتی هکر با دست یافتن به اطلاعات شخصی کاربر، به امکانات سیم‌کارت او دست پیدا می‌کند، بدون اینکه سیم‌کارت را به‌طور فیزیکی دزدیده باشد.

یکی دیگر از مدل‌های حمله‌ای که امسال بیشتر شد، «بمباران اعلان» یا MFA Fatigue Attack بود، به این معنی که هکرها با فرستادن پشت‌سرهم درخواست احراز هویت، کاربر را خسته می‌کنند تا نهایتاً تأیید اشتباهی بفرستد. این روش بیشتر توسط گروه‌های دولتی استفاده شده است.

داده‌های شبیه‌سازی فیشینگ نشان می‌دهد که اگرچه نرخ کلیک نهایتاً به یک سطح ثابت می‌رسد (میانگین حدود ۱٫۵ درصد پس از آموزش‌های گسترده)، اما نرخ گزارش‌دهی ایمیل‌های مشکوک هم بعد از آموزش‌های جدید به طور قابل توجهی افزایش می‌یابد: از ۵ درصد به ۲۱ درصد.

با این حساب آنچه در مقابله با فیشینگ اهمیت دارد، فقط کاهش نرخ کلیک نیست، بلکه افزایش آگاهی و تمایل کارکنان به گزارش این حملات نیز نقشی کلیدی ایفا می‌کند.

این نوع حملات سریع و به‌صورت حمله‌های مستقیم به برنامه‌های تحت وب پیش می‌روند: «وارد شو، داده را بگیر و خارج شو». در ۸۸ درصد از موارد این گروه شاهد استفاده از رمزهای عبور سرقت شده هستیم، ضمن اینکه حمله با آزمون و خطای رمز عبور هم در این دسته زیاد دیده می‌شود.

نکته‌ی قابل‌توجه اینکه امسال انگیزه جاسوسی به انگیزه اصلی در این الگو تبدیل شده بود (۶۱-۶۲ درصد) که جهش قابل‌توجهی نسبت به نرخ ۱۰ تا ۲۰ درصد گذشته را نشان می‌دهد. با این شواهد گویا عوامل دولتی هم به حملات ساده‌تر مبتنی بر رمز عبور روی آورده‌اند.

این الگو ارتباط عمیقی با دنیای پر از اطلاعات لو رفته دارد، یعنی همان جایی که میلیاردها رمز عبور میلیاردها رمز عبور (چه رمزهای هش‌شده، چه رمزهای ساده) در سال ۲۰۲۴ در دیتابیس‌های هک‌شده منتشر شده بود.

این الگو به‌سادگی برخی اقدامات غیرعمدی را بیان می‌کند که امنیت سایبری را به خطر می‌اندازند. گرچه این دسته از مشکلات نسبت به گذشته کمتر شده، ولی همچنان در بخش‌هایی مانند بهداشت و درمان و بخش عمومی و سازمان‌های بزرگ‌تر دردسرساز می‌شوند و در ۹۸ درصد موارد هم کارکنان داخلی مقصرند.

رایج‌ترین مدل‌های خطا عبارت‌اند از:

• فرستادن اطلاعات به گیرنده‌ی اشتباهی (چه به‌صورت ایمیلی، چه کاغذی)
• باز گذاشتن دیتابیس‌های حساس روی اینترنت بدون هیچ حفاظتی
• اشتباه در انتشار اطلاعات حساس

بیشتر از هر چیز، داده‌های شخصی قربانی این اشتباهات می‌شوند؛ چنان‌که در ۹۵ درصد مواقع اطلاعاتی مثل اسم، شماره تماس، آدرس و نظیر آن لو می‌رود.

گاهی اوقات مشکل از افراد داخل سازمان شروع می‌شود؛ یعنی پرسنلی که دسترسی قانونی دارند، ولی از این دسترسی‌ها از استفاده غیرمجاز یا بدخواهانه می‌کنند. درحالی‌که ۹۰ درصد از این سوءاستفاده‌ها توسط کارکنان داخلی انجام شده، ولی امسال نقش شرکای تجاری هم بیشتر شد و به ۱۰ درصد رسید.

طبق آمار ۸۹ درصد مواقع انگیزه‌ی مالی پشت ماجرا است، ولی ۱۰ از این حملات هم با هدف جاسوسی صورت می‌گیرد.

این حملات اغلب از طریق دسترسی معمولی به شبکه داخلی (LAN) انجام می‌شود، یعنی فرد به‌سادگی اطلاعاتی را کپی می‌کند که به آن‌ها دسترسی دارد. البته در حدود یک‌چهارم موارد این مشکل از طریق دسترسی از راه دور ایجاد شده است.

حملات DoS بیشتر از اینکه باعث دزدیدن و نشت اطلاعات شوند، سیستم‌ها را از کار میندازند یا دسترسی به سرویس‌ها را قطع می‌کنند. بااین‌حال همچنان به‌عنوان یکی از الگوهای اصلی حوادث امنیتی شناخته می‌شوند.

از سال ۲۰۱۸ تا به امروز، حجم این حملات به طرز شگفت‌انگیزی بیشتر شده، تا جایی که تعداد بسته‌های ارسالی در هر ثانیه (PPS) بیش از ۲۰۰ و حجم داده‌های ارسالی در هر ثانیه (BPS) هزار درصد افزایش یافته‌اند!