جرایم سایبری به‌عنوان سرویس (CaaS) چیست؟

جرایم سایبری به‌عنوان سرویس

جرایم سایبری به‌عنوان سرویس (CaaS) چیست؟ این جرایم، تهدید رو به رشد و تکاملی برای مشتریان در سراسر جهان است.  روزانه شاهد رشد مداوم اکوسیستم جرایم سایبری به عنوان سرویس یا CaaS و تعداد زیادی سرویس آنلاین هستیم که جرایم سایبری مختلفی از جمله باج‌افزارهای مبتنی بر انسان و BEC را تسهیل می‌کنند. فیشینگ همچنان روش حمله‌ی ترجیحی است، زیرا مجرمان سایبری می‌توانند سود زیادی از سرقت موفق و فروش حساب‌های به سرقت رفته بدست بیاورند.

در پاسخ به رشد بازار جرایم سایبری به‌عنوان سرویس (CaaS)، واحد جرایم سایبری (DCU) سیستم‌های شناسایی را تقویت کرده تا بتواند ارائه‌های CaaS را روی کل اکوسیستم اینترنت، Deep Web، انجمن‌های تحت نظارت، وب‌سایت‌های اختصاصی، انجمن‌های بحث آنلاین و پلتفرم‌های پیام‌رسانی شناسایی کند.

امروز مجرمان سایبری در مناطق زمانی مختلف و با زبان‌های متفاوت با هم همکاری می‌کنند تا به نتایج موردنظر خود برسند. مثلاً، یک وب‌سایت CaaS که توسط فردی در آسیا مدیریت می‌شود عملیاتی را در اروپا انجام می‌دهد و حساب‌های مخربی را در آفریقا می‌سازد. طبیعت این عملیات که در چند حوزه قضایی رخ می‌دهند چالش‌های قانونی پیچیده‌ای را ایجاد می‌کند. در پاسخ به این چالش‌ها، واحد جرایم سایبری (DCU)، تمرکز خود را روی غیرفعال کردن زیرساخت‌های مجرمانه مخرب مورداستفاده برای تسهیل حملات CaaS و همکاری با آژانس‌های اعمال قانون در سراسر جهان قرار داده است تا مجرمان پاسخگوی اعمال خود باشند.

مجرمان سایبری برای به حداکثر رساندن تأثیرات و سود خود به‌طور روزافزونی از فرایندهای تجزیه‌و‌تحلیل استفاده می‌کنند. وب‌سایت‌های جرایم سایبری به‌عنوان سرویس (CaaS) باید مثل کسب‌و‌کار‌های قانونی از درستی محصولات و خدمات خود اطمینان حاصل کنند تا اعتبار سازمانی خوبی بدست آورند. مثلاً وب‌سایت‌های CaaS به‌صورت روتین دسترسی به حساب‌های دچار نقض امنیتی را خودکارسازی می‌کنند تا از صحت اطلاعات اعتباری دچار نقض امنیتی اطمینان حاصل کنند. وقتی‌که رمزهای عبور ریست شوند یا آسیب‌پذیری‌ها Patch شوند، مجرمان سایبری فروش حساب‌های به‌خصوصی را متوقف می‌کنند. به‌طور روزافزون دیده می‌شود که وب‌سایت‌های CaaS برای خریداران تأییدیه‌هایی بر طبق درخواست را به‌عنوان فرایند کنترل کیفیت فراهم می‌کنند. در نتیجه، کاربران اعتماد می‌کنند که وب‌سایت جرایم سایبری به‌عنوان سرویس (CaaS) حساب‌ها و رمزهای عبور فعال را می‌فروشد و در همین حال اگر اطلاعات اعتباری دزدیده‌شده پیش از فروش اصلاح شوند، هزینه‌های احتمالی فروشنده‌ی CaaS کاهش می‌یابد.

واحد جرایم سایبری همچنین مشاهده کرد که وب‌سایت‌های جرایم سایبری به‌عنوان سرویس (CaaS) به فروشندگان گزینه‌ای را برای خرید حساب‌های دچار نقض امنیتی از مکان‌های جغرافیایی مشخص، ارائه‌کنندگان خدمات آنلاین معین و افراد، متخصصان و صنایع هدفمند ارائه می‌دهند. حساب‌هایی که به‌طور مکرر سفارش داده می‌شوند روی متخصصان یا دپارتمان‌هایی تمرکز دارند که صورت‌‌حساب را پردازش می‌کنند؛ مثلاً مدیران مالی یا واحد «حساب دریافتنی». به‌طور مشابه، صنایعی که در قراردادهای عمومی مشارکت دارند معمولاً مورد هدف قرار می‌گیرند، زیرا مقدار اطلاعاتی که از طریق فرایند مناقصه عمومی در دسترس قرار می‌گیرد بسیار زیاد است.

رویه‌های کلیدی در جرایم سایبری به‌عنوان سرویس (CaaS)

تعداد و پیچیدگی خدمات در حال افزایش است.

به‌عنوان‌مثال، می‌توان به تکامل Shellهای وب اشاره کرد که معمولاً شامل سرورهای وب دچار نقض امنیتی هستند که برای خودکارسازی حملات فیشینگ مورداستفاده قرار می‌گیرند. واحد جرایم سایبری مشاهده کرد که فروشندگان جرایم سایبری به‌عنوان سرویس (CaaS) آپلود Kitهای فیشینگ یا بدافزار را از طریق داشبوردهای وب تخصصی تسهیل می‌کنند. سپس فروشندگان جرایم سایبری به‌عنوان سرویس (CaaS) سعی می‌کنند از طریق داشبورد، خدمات اضافه‌ای را به عامل تهدید بفروشند؛ مثلاً خدمات پیام اسپم و فهرست‌های دریافت اسپم بر اساس ویژگی‌های تعریف‌شده از جمله مکان جغرافیایی یا تخصص. در برخی از موارد مشاهده شد که یک Shell Web واحد در چندین کمپین حمله مورداستفاده قرار گرفته است که نشان می‌دهد عاملان تهدید می‌توانند دسترسی مداومی به سرور دچار نقض امنیتی داشته باشند. همچنین مشاهده شد که خدمات ناشناس‌سازی به‌عنوان بخشی از اکوسیستم جرایم سایبری به‌عنوان سرویس (CaaS) در دسترس قرار گرفته است و همچنین پیشنهاداتی برای حساب‌های شبکه‌های خصوصی مجازی یا VPN و سرورهای خصوصی مجازی یا VPS ارائه شده است. در اکثر موارد، VPN یا VPS ارائه شده در ابتدا از طریق کارت‌های اعتباری سرقتی تهیه شده بودند. وب‌سایت‌های CaaS همچنین تعداد بیشتری پروتکل دسکتاپ Remote یا RDP، Shell ایمن یا SSH و cPanelها را برای استفاده به‌عنوان یک پلتفرم برای تنظیم حملات جرایم سایبری مورداستفاده قرار دادند. فروشندگان جرایم سایبری به‌عنوان سرویس (CaaS) با استفاده از ابزار و Scriptهای مناسب RDP، SSH و cPanelها را پیکربندی می‌کنند تا انواع حملات سایبری را تسهیل کنند.

با ایجاد دامین Homoglyph درخواست پرداخت با رمزارز می‌کنند.

دامین‌های Homoglyph با استفاده از حروفی که ظاهرشان تقریباً با ظاهر حرف دیگری یکسان است، نام‌های دامین قانونی را جعل می‌کنند. هدف از این کار این است که بیننده فکر کند دامین Homoglyph یک دامین واقعی است. این دامین‌ها تهدید همه‌جانبه هستند و بسیاری از جرایم سایبری از این نقطه شروع می‌شوند. سایت‌های CaaS اکنون نام‌های دامین Homoglyph سفارشی می‌فروشند که به خریدار اجازه می‌دهد درخواست دهد نا کدام شرکت یا دامین برایش جعل شود. پس از دریافت‌ مبلغ موردنظر، فروشندگان جرایم سایبری به‌عنوان سرویس (CaaS) از یک ابزار تولیدکننده‌ی Homoglyph استفاده می‌کنند تا نام دامین را انتخاب کرده و سپس Homoglyph مخرب را ثبت کنند. پرداخت برای این سرویس تقریباً همیشه با رمزارز انجام می‌شود.

امسال ۲۷۵۰۰۰۰ ثبت سایت با موفقیت توسط واحد جرایم سایبری (DCU) مسدود شد.

فروشندگان جرایم سایبری به‌عنوان سرویس (CaaS) به‌طور روزافزون اطلاعات اعتباری دچار نقض امنیتی را به فروش می‌رسانند.

 اطلاعات اعتباری دچار نقض امنیتی امکان دسترسی غیرمجاز را به حساب‌های کاربری از جمله سرویس پیام‌رسانی ایمیل، منابع اشتراک فایل سازمانی و OneDrive for Business فراهم می‌کند. اگر اطلاعات اعتباری ادمین‌ها دچار نقض امنیتی شود، کاربران غیرمجاز می‌توانند به فایل‌های محرمانه، منابع Azure و حساب‌های کاربری شرکت دسترسی پیدا کنند. در بسیاری از مواقع، بررسی‌های DCU استفاده‌ی غیرمجاز از اطلاعات اعتباری یکسان در چندین سرور را راهی برای خودکارسازی اعتبارسنجی اطلاعات اعتباری تشخیص داد. این الگو نشان می‌دهد که کاربر دچار نقض امنیتی ممکن است قربانی چندین حمله‌ی فیشینگ باشد یا بدافزارهایی روی دستگاه وی به Botnetهای Keylogger امکان جمع‌آوری اطلاعات اعتباری را بدهد.

خدمات و محصولات جرایم سایبری به‌عنوان سرویس (CaaS) با ویژگی‌های بهبودیافته درحال ظهور هستند تا از شناسایی پیشگیری گردد.

یکی از فروشندگان CaaS کیت‌های فیشینگ را به فروش می‌رساند که دارای پیچیدگی بیشتر و ویژگی‌های ناشناس‌سازی هستند که سیستم‌های شناسایی و پیشگیری را دور می‌زنند و قیمت‌شان فقط ۶ دلار در روز است. این سرویس مجموعه‌ای از Redirectها را ارائه می‌‌دهد که قبل از اینکه ترافیک را به لایه یا سایت بعدی بفرستند، چک‌های لازم را انجام می‌دهند. یکی از آن‌ها بیش از ۹۰ چک را برای اثر انگشت (Fingerprinting) دستگاه انجام داد، از جمله اینکه آیا یک ماشین مجازی است یا خیر، چه جزئیاتی در مورد مرورگر و سخت‌افزار درحال استفاده وجود وارد و غیره. اگر تمام چک‌ها قبول شوند، ترافیک به یک صفحه مورداستفاده برای فیشینگ ارسال می‌شود.

خدمات جرایم سایبری End-to-End اشتراک‌ها را به خدمات مدیریت‌شده می‌فرستند.

معمولاً اگر امنیت عملیاتی جرایم سایبری ضعیف باشد، هر قدم در انجام آن‌ها می‌تواند عاملان تهدید را افشا کند. اگر خدمات از چندین سایت CaaS خریداری شده باشند، ریسک شناسایی شدن افزایش پیدا می‌کند. افزایش ارائه خدمات برای ناشناس‌سازی کد نرم‌افزار و عمومی کردن وب‌سایت در کنار کاهش افشا توسط واحد جرایم سایبری در دارک‌وب مشاهده شده است. ارائه‌کنندگان خدمات اشتراک جرایم سایبری End-to-End تمام خدمات را مدیریت کرده و نتایجی را تضمین می‌کنند که بیش‌ازپیش ریسک قرار گرفتن در معرض افشا را کاهش می‌دهد. این کاهش ریسک باعث افزایش محبوبیت این خدمات End-to-End شده است.

Phishing as a Service یا PhaaS یکی از مثال‌های سرویس جرایم سایبری End-to-End است. PhaaS نسخه تکامل‌یافته‌ی خدمات گذشته است که تحت عنوان خدمات کاملاً غیرقابل‌شناسایی یا FUD شناخته می‌شدند و به‌صورت اشتراکی به فروش می‌رسیدند. معمولاً PhaaSها شامل فعال نگه داشتن وب‌سایت‌های فیشینگ به مدت یک ماه هستند.

واحد جرایم سایبری همچنین یک فروشنده‌ی جرایم سایبری به‌عنوان سرویس (CaaS) را شناسایی کرد که حملات Distributed Denial of Service یا DDoS را با یک مدل اشتراکی ارائه می‌دهد. این مدل ایجاد و نگهداری بات‌نت لازم برای انجام حملات را به فروشنده‌ی CaaS برون‌سپاری می‌کند. هر مشتری اشتراک DDoS  یک سال پشتیبانی ۲۴ ساعته و یک سرویس رمزگذاری‌شده را دریافت می‌کند تا امنیت عملیاتی را بهبود بخشد. سرویس اشتراکی DDoS معماری‌ها و روش‌های حمله‌ی متفاوتی را ارائه می‌دهد تا خریدار صرفاً منبعی را برای حمله انتخاب کند و فروشنده دسترسی به انواعی از دستگاه‌های دچار نقض امنیتی را روی Botnet خود ارائه می‌دهد تا حمله انجام گیرد. هزینه‌‌ی اشتراک DDoS فقط ۵۰۰ دلار آمریکا است.

تلاش DCU برای ایجاد ابزار و تکنیک‌هایی که مجرمان سایبری CaaS را شناسایی و کارشان را مختل کند ادامه دارد. تکامل سرویس‌های CaaS، به‌خصوص در اختلال پرداخت‌ها با رمز ارز چالش‌های قابل‌توجهی را ایجاد کرده است.

مجرمان سایبری چندین سرویس را در یک اشتراک ارائه می‌دهند. به‌طورکلی، خریدار فقط باید سه مرحله را طی کند:

  1. انتخاب یک سایت نمونه یا طراحی فیشینگ از بین صدها مورد.
  2. فراهم کردن یک آدرس ایمیل برای دریافت اطلاعات اعتباری بدست آمده از قربانیان فیشینگ
  3. پرداخت هزینه به فروشنده‌ی PhaaS با رمزارز

وقتی که این اقدامات انجام شدند، فروشنده PhaaS خدماتی را با سه یا چهار لایه Redirect و منابع Hosting می‌سازد تا کاربران به‌خصوصی را هدف قرار دهد. سپس کمپین شروع می‌شود و اطلاعات اعتباری قربانی جمع‌آوری و تائید شده و به آدرس ایمیلی که توسط خریدار فراهم می‌شود ارسال می‌گردد. بسیاری از فروشندگان PhaaS با دریافت مبلغ بیشتر سایت‌های فیشینگ را روی بلاکچین‌های عمومی Host می‌کنند تا هر مرورگری بتواند به آن‌ها دسترسی پیدا کند و Redirectها بتوانند کاربران را به سمت منبعی روی Ledger توزیعی هدایت کنند.

ایمیل خود را وارد کنید و عضو خبرنامه شوید.
Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.

در دنیای امنیت چه خبر؟
جهت دریافت آخرین اخبار دنیای امنیت شبکه و اطلاعات ایمیل خود را وارد کنید.