جرایم سایبری بهعنوان سرویس (CaaS) چیست؟ این جرایم، تهدید رو به رشد و تکاملی برای مشتریان در سراسر جهان است. روزانه شاهد رشد مداوم اکوسیستم جرایم سایبری به عنوان سرویس یا CaaS و تعداد زیادی سرویس آنلاین هستیم که جرایم سایبری مختلفی از جمله باجافزارهای مبتنی بر انسان و BEC را تسهیل میکنند. فیشینگ همچنان روش حملهی ترجیحی است، زیرا مجرمان سایبری میتوانند سود زیادی از سرقت موفق و فروش حسابهای به سرقت رفته بدست بیاورند.
در پاسخ به رشد بازار جرایم سایبری بهعنوان سرویس (CaaS)، واحد جرایم سایبری (DCU) سیستمهای شناسایی را تقویت کرده تا بتواند ارائههای CaaS را روی کل اکوسیستم اینترنت، Deep Web، انجمنهای تحت نظارت، وبسایتهای اختصاصی، انجمنهای بحث آنلاین و پلتفرمهای پیامرسانی شناسایی کند.
امروز مجرمان سایبری در مناطق زمانی مختلف و با زبانهای متفاوت با هم همکاری میکنند تا به نتایج موردنظر خود برسند. مثلاً، یک وبسایت CaaS که توسط فردی در آسیا مدیریت میشود عملیاتی را در اروپا انجام میدهد و حسابهای مخربی را در آفریقا میسازد. طبیعت این عملیات که در چند حوزه قضایی رخ میدهند چالشهای قانونی پیچیدهای را ایجاد میکند. در پاسخ به این چالشها، واحد جرایم سایبری (DCU)، تمرکز خود را روی غیرفعال کردن زیرساختهای مجرمانه مخرب مورداستفاده برای تسهیل حملات CaaS و همکاری با آژانسهای اعمال قانون در سراسر جهان قرار داده است تا مجرمان پاسخگوی اعمال خود باشند.
مجرمان سایبری برای به حداکثر رساندن تأثیرات و سود خود بهطور روزافزونی از فرایندهای تجزیهوتحلیل استفاده میکنند. وبسایتهای جرایم سایبری بهعنوان سرویس (CaaS) باید مثل کسبوکارهای قانونی از درستی محصولات و خدمات خود اطمینان حاصل کنند تا اعتبار سازمانی خوبی بدست آورند. مثلاً وبسایتهای CaaS بهصورت روتین دسترسی به حسابهای دچار نقض امنیتی را خودکارسازی میکنند تا از صحت اطلاعات اعتباری دچار نقض امنیتی اطمینان حاصل کنند. وقتیکه رمزهای عبور ریست شوند یا آسیبپذیریها Patch شوند، مجرمان سایبری فروش حسابهای بهخصوصی را متوقف میکنند. بهطور روزافزون دیده میشود که وبسایتهای CaaS برای خریداران تأییدیههایی بر طبق درخواست را بهعنوان فرایند کنترل کیفیت فراهم میکنند. در نتیجه، کاربران اعتماد میکنند که وبسایت جرایم سایبری بهعنوان سرویس (CaaS) حسابها و رمزهای عبور فعال را میفروشد و در همین حال اگر اطلاعات اعتباری دزدیدهشده پیش از فروش اصلاح شوند، هزینههای احتمالی فروشندهی CaaS کاهش مییابد.
واحد جرایم سایبری همچنین مشاهده کرد که وبسایتهای جرایم سایبری بهعنوان سرویس (CaaS) به فروشندگان گزینهای را برای خرید حسابهای دچار نقض امنیتی از مکانهای جغرافیایی مشخص، ارائهکنندگان خدمات آنلاین معین و افراد، متخصصان و صنایع هدفمند ارائه میدهند. حسابهایی که بهطور مکرر سفارش داده میشوند روی متخصصان یا دپارتمانهایی تمرکز دارند که صورتحساب را پردازش میکنند؛ مثلاً مدیران مالی یا واحد «حساب دریافتنی». بهطور مشابه، صنایعی که در قراردادهای عمومی مشارکت دارند معمولاً مورد هدف قرار میگیرند، زیرا مقدار اطلاعاتی که از طریق فرایند مناقصه عمومی در دسترس قرار میگیرد بسیار زیاد است.
رویههای کلیدی در جرایم سایبری بهعنوان سرویس (CaaS)
تعداد و پیچیدگی خدمات در حال افزایش است.
بهعنوانمثال، میتوان به تکامل Shellهای وب اشاره کرد که معمولاً شامل سرورهای وب دچار نقض امنیتی هستند که برای خودکارسازی حملات فیشینگ مورداستفاده قرار میگیرند. واحد جرایم سایبری مشاهده کرد که فروشندگان جرایم سایبری بهعنوان سرویس (CaaS) آپلود Kitهای فیشینگ یا بدافزار را از طریق داشبوردهای وب تخصصی تسهیل میکنند. سپس فروشندگان جرایم سایبری بهعنوان سرویس (CaaS) سعی میکنند از طریق داشبورد، خدمات اضافهای را به عامل تهدید بفروشند؛ مثلاً خدمات پیام اسپم و فهرستهای دریافت اسپم بر اساس ویژگیهای تعریفشده از جمله مکان جغرافیایی یا تخصص. در برخی از موارد مشاهده شد که یک Shell Web واحد در چندین کمپین حمله مورداستفاده قرار گرفته است که نشان میدهد عاملان تهدید میتوانند دسترسی مداومی به سرور دچار نقض امنیتی داشته باشند. همچنین مشاهده شد که خدمات ناشناسسازی بهعنوان بخشی از اکوسیستم جرایم سایبری بهعنوان سرویس (CaaS) در دسترس قرار گرفته است و همچنین پیشنهاداتی برای حسابهای شبکههای خصوصی مجازی یا VPN و سرورهای خصوصی مجازی یا VPS ارائه شده است. در اکثر موارد، VPN یا VPS ارائه شده در ابتدا از طریق کارتهای اعتباری سرقتی تهیه شده بودند. وبسایتهای CaaS همچنین تعداد بیشتری پروتکل دسکتاپ Remote یا RDP، Shell ایمن یا SSH و cPanelها را برای استفاده بهعنوان یک پلتفرم برای تنظیم حملات جرایم سایبری مورداستفاده قرار دادند. فروشندگان جرایم سایبری بهعنوان سرویس (CaaS) با استفاده از ابزار و Scriptهای مناسب RDP، SSH و cPanelها را پیکربندی میکنند تا انواع حملات سایبری را تسهیل کنند.
با ایجاد دامین Homoglyph درخواست پرداخت با رمزارز میکنند.
دامینهای Homoglyph با استفاده از حروفی که ظاهرشان تقریباً با ظاهر حرف دیگری یکسان است، نامهای دامین قانونی را جعل میکنند. هدف از این کار این است که بیننده فکر کند دامین Homoglyph یک دامین واقعی است. این دامینها تهدید همهجانبه هستند و بسیاری از جرایم سایبری از این نقطه شروع میشوند. سایتهای CaaS اکنون نامهای دامین Homoglyph سفارشی میفروشند که به خریدار اجازه میدهد درخواست دهد نا کدام شرکت یا دامین برایش جعل شود. پس از دریافت مبلغ موردنظر، فروشندگان جرایم سایبری بهعنوان سرویس (CaaS) از یک ابزار تولیدکنندهی Homoglyph استفاده میکنند تا نام دامین را انتخاب کرده و سپس Homoglyph مخرب را ثبت کنند. پرداخت برای این سرویس تقریباً همیشه با رمزارز انجام میشود.
امسال ۲۷۵۰۰۰۰ ثبت سایت با موفقیت توسط واحد جرایم سایبری (DCU) مسدود شد.
فروشندگان جرایم سایبری بهعنوان سرویس (CaaS) بهطور روزافزون اطلاعات اعتباری دچار نقض امنیتی را به فروش میرسانند.
اطلاعات اعتباری دچار نقض امنیتی امکان دسترسی غیرمجاز را به حسابهای کاربری از جمله سرویس پیامرسانی ایمیل، منابع اشتراک فایل سازمانی و OneDrive for Business فراهم میکند. اگر اطلاعات اعتباری ادمینها دچار نقض امنیتی شود، کاربران غیرمجاز میتوانند به فایلهای محرمانه، منابع Azure و حسابهای کاربری شرکت دسترسی پیدا کنند. در بسیاری از مواقع، بررسیهای DCU استفادهی غیرمجاز از اطلاعات اعتباری یکسان در چندین سرور را راهی برای خودکارسازی اعتبارسنجی اطلاعات اعتباری تشخیص داد. این الگو نشان میدهد که کاربر دچار نقض امنیتی ممکن است قربانی چندین حملهی فیشینگ باشد یا بدافزارهایی روی دستگاه وی به Botnetهای Keylogger امکان جمعآوری اطلاعات اعتباری را بدهد.
خدمات و محصولات جرایم سایبری بهعنوان سرویس (CaaS) با ویژگیهای بهبودیافته درحال ظهور هستند تا از شناسایی پیشگیری گردد.
یکی از فروشندگان CaaS کیتهای فیشینگ را به فروش میرساند که دارای پیچیدگی بیشتر و ویژگیهای ناشناسسازی هستند که سیستمهای شناسایی و پیشگیری را دور میزنند و قیمتشان فقط ۶ دلار در روز است. این سرویس مجموعهای از Redirectها را ارائه میدهد که قبل از اینکه ترافیک را به لایه یا سایت بعدی بفرستند، چکهای لازم را انجام میدهند. یکی از آنها بیش از ۹۰ چک را برای اثر انگشت (Fingerprinting) دستگاه انجام داد، از جمله اینکه آیا یک ماشین مجازی است یا خیر، چه جزئیاتی در مورد مرورگر و سختافزار درحال استفاده وجود وارد و غیره. اگر تمام چکها قبول شوند، ترافیک به یک صفحه مورداستفاده برای فیشینگ ارسال میشود.
خدمات جرایم سایبری End-to-End اشتراکها را به خدمات مدیریتشده میفرستند.
معمولاً اگر امنیت عملیاتی جرایم سایبری ضعیف باشد، هر قدم در انجام آنها میتواند عاملان تهدید را افشا کند. اگر خدمات از چندین سایت CaaS خریداری شده باشند، ریسک شناسایی شدن افزایش پیدا میکند. افزایش ارائه خدمات برای ناشناسسازی کد نرمافزار و عمومی کردن وبسایت در کنار کاهش افشا توسط واحد جرایم سایبری در دارکوب مشاهده شده است. ارائهکنندگان خدمات اشتراک جرایم سایبری End-to-End تمام خدمات را مدیریت کرده و نتایجی را تضمین میکنند که بیشازپیش ریسک قرار گرفتن در معرض افشا را کاهش میدهد. این کاهش ریسک باعث افزایش محبوبیت این خدمات End-to-End شده است.
Phishing as a Service یا PhaaS یکی از مثالهای سرویس جرایم سایبری End-to-End است. PhaaS نسخه تکاملیافتهی خدمات گذشته است که تحت عنوان خدمات کاملاً غیرقابلشناسایی یا FUD شناخته میشدند و بهصورت اشتراکی به فروش میرسیدند. معمولاً PhaaSها شامل فعال نگه داشتن وبسایتهای فیشینگ به مدت یک ماه هستند.
واحد جرایم سایبری همچنین یک فروشندهی جرایم سایبری بهعنوان سرویس (CaaS) را شناسایی کرد که حملات Distributed Denial of Service یا DDoS را با یک مدل اشتراکی ارائه میدهد. این مدل ایجاد و نگهداری باتنت لازم برای انجام حملات را به فروشندهی CaaS برونسپاری میکند. هر مشتری اشتراک DDoS یک سال پشتیبانی ۲۴ ساعته و یک سرویس رمزگذاریشده را دریافت میکند تا امنیت عملیاتی را بهبود بخشد. سرویس اشتراکی DDoS معماریها و روشهای حملهی متفاوتی را ارائه میدهد تا خریدار صرفاً منبعی را برای حمله انتخاب کند و فروشنده دسترسی به انواعی از دستگاههای دچار نقض امنیتی را روی Botnet خود ارائه میدهد تا حمله انجام گیرد. هزینهی اشتراک DDoS فقط ۵۰۰ دلار آمریکا است.
تلاش DCU برای ایجاد ابزار و تکنیکهایی که مجرمان سایبری CaaS را شناسایی و کارشان را مختل کند ادامه دارد. تکامل سرویسهای CaaS، بهخصوص در اختلال پرداختها با رمز ارز چالشهای قابلتوجهی را ایجاد کرده است.
مجرمان سایبری چندین سرویس را در یک اشتراک ارائه میدهند. بهطورکلی، خریدار فقط باید سه مرحله را طی کند:
- انتخاب یک سایت نمونه یا طراحی فیشینگ از بین صدها مورد.
- فراهم کردن یک آدرس ایمیل برای دریافت اطلاعات اعتباری بدست آمده از قربانیان فیشینگ
- پرداخت هزینه به فروشندهی PhaaS با رمزارز
وقتی که این اقدامات انجام شدند، فروشنده PhaaS خدماتی را با سه یا چهار لایه Redirect و منابع Hosting میسازد تا کاربران بهخصوصی را هدف قرار دهد. سپس کمپین شروع میشود و اطلاعات اعتباری قربانی جمعآوری و تائید شده و به آدرس ایمیلی که توسط خریدار فراهم میشود ارسال میگردد. بسیاری از فروشندگان PhaaS با دریافت مبلغ بیشتر سایتهای فیشینگ را روی بلاکچینهای عمومی Host میکنند تا هر مرورگری بتواند به آنها دسترسی پیدا کند و Redirectها بتوانند کاربران را به سمت منبعی روی Ledger توزیعی هدایت کنند.