بدافزارهای Form Grabbing روزانه هزاران کامپیوتر را در سکوت آلوده میکنند و بسیاری از قربانیان این حملهها حتی از این موضوع اطلاع ندارند. این نوع بدافزار میتواند دادههای حساس شما را بهسرقت ببرد و هکرها نیز ازطریق آن میتوانند به کامپیوتری شما دسترس پیدا کنند و بدینترتیب، از آن برای ارسال هرزنامه یا سرقت اطلاعات شخصی بهره ببرند.
بدافزار Form Grabbig چیست؟
این بدافزارها که از آنها بهعنوان Grabbers نیز یاد میشود، بهطورخاص برای دریافت دادههای فرمهای آنلاین تحتوب مثل نامهای کاربری و گذرواژهها و سایر اطلاعات خصوصی افراد از روی مروگرهای وب طراحی شدهاند.
بدافزارهای Form Grabbing برخلاف کی لاگرها، میتوانند دادهها و اطلاعات احراز هویت کاربران را حتی درصورت استفاده از از سرویسهای تکمیل فرم خودکار یا صفحهکلید مجازی بهدست آورند. سپس این دادهها ذخیره خواهند شد و به سرورهای خاصی انتقال خواهند یافت. این نوع بدافزارها ازجمله رایجترین ابزارها برای دریافت اطلاعات مربوط به اعتبارسنجی ورود به حساب کاربران روی مرورگر محسوب میشوند. درمقابل، کی لاگرها برای سرقت دادههای مدیر سیستم طراحی شدهاند.
بدافزارهای Form Grabbing بیشتر در مواقعی استفاده میشوند که کاربر با وبسایت بانکی یا وبسایت حساس دیگر تعامل دارد. این ابزارها سپس دادههای فرمها را بهسرقت میبرند و بدینترتیب اطلاعات بسیار مهم و حساس را قبل از انتقال به سرور امن ازطرق اینترنت، شناسایی و استخراج میکنند.
تاریخچهی Form Grabbing
اگرچه فعالیت بدافزارهای Form Grabbing در سال ۲۰۰۳ آغاز شد، این ابزارها در آن زمان بهعنوان عامل تهدید بزرگ در نظر گرفته نشد تا اینکه درسال ۲۰۰۷، بدافزاری به نام زئوس پا به عرصهی اینترنت گذاشت. افرادی که ایمیلهای مرتبط با این بدافزار را دریافت کرده بودند، بهاشتباه فکر میکردند که ایمیلها را شرکتهای بانکی معتبر ارسال کردهاند. کدمنبع زئوس در سال ۲۰۱۱ بهطورعمومی منتشر شد و بدینترتیب، زمینهی لازم برای ساخت نسخههای مختلف این تروجانها را فراهم کرد.
کد اصلی پروژهی زئوس اکنون منسوخ شده است؛ اما پایهای برای شکلگیری بدافزارهای جدید شد که امروزه همچنان اینترنت را درگیر خود کردهاند. یکی از این بدافزارها SpyEye است که با استفاده از کدهای قبلی زئوس، مرورگر کاربران را هدف قرار میدهد. بهگزارش MUO، این ابزار فشردهشدن کلیدهای کامپیوتر را ثبت میکند و هنگامیکه کاربر در حال ورود به درگاه بانکی باشد، اطلاعات مربوط به اعتبارسنجیهای ورود او را بهسرقت میبرد.
SpyEye تقریباً ردیابینشدنی است و مهاجمان میتوانند از آن در سناریوهای مختلف استفاده کنند. این بدافزار قابلیتهایی مثل جمعآوری وجوه و انتقال آنها به حساب مهاجمان را نیز ارائه میدهند. ابزارهای یادشده مثل سایر بدافزارهای امروزی ازطریق پیوندهای جعلی به وبسایتهای ناامن و ارسال ایمیلهای هرزنامه به کامپیوترهای هدف خود نفوذ میکنند.
روش عملکرد بدافزارهای Form Grabbing
کلید موفقیت بدافزارهای Form Grabbing قرارگرفتن بین مرورگر و پشتهی شبکه است که به آنها اجازه میدهد دادهها را قبل از رمزنگاری ردیابی کنند. این ابزارها ابتدا شیء کمکی (BHO) را روی مروگر نصب و ازطریق آن با تابع HttpSendRequest ارتباط برقرار میکنند. تابع مذکور مسئول ایجاد اتصال به اینترنت و ارسال درخواست HTTP به سروری مشخص است.
بدافزارهای Form Grabbing احتمالاً با هربار راهاندازی، فایلهای DLL را وارد مرورگر میکنند. این بدافزارها توابع HTTP را نیز تغییر میدهند و آنها را دوباره پیکربندی میکنند تا درخواستها قبل از ارسال به پشتههای امن، به سرور مدنظر مهاجمان ارسال شوند.
چگونه از خود دربرابر بدافزارهای Form Grabbing محافظت کنیم؟
یکی از روشهای مؤثر برای مقابله با بدافزارهای Form Grabbing نصب آنتیویروس است. علاوهبراین، محدودکردن دسترسی برای جلوگیری از دانلود BHOها، تاکتیک کاربردی دیگری برای محافظت دربرابر چنین تروجانهایی محسوب است.
نصب آنتیویروس
آنتیویروسها با اسکن ترافیک ازطریق اینترنت و کامپیوتر شما کار میکنند. تهدیدهای شناختهشده با این ابزارها بررسی و تعاملات مشکوک علامتگذاری میشوند تا در کوتاهترین زمان ممکن، از ورود بدافزارها و خروج تروجانها جلوگیری شود.
اگر سیستم کامپیوتری هیچ نوع آنتیویروسی نداشته باشد، درمعرض حملهی انواع بدافزارهایی قرار دارد که میتوانند برای مدت طولانی روی آن باقی بمانند. بااینحال، برای اثربخشی آنتیویروس دربرابر بدافزارهای Form Grabbing، باید بهطورمدوام بهروزرسانی شوند تا امکان شناسایی جدیدترین مشکلات امنیتیای فراهم شود که شاید هنگام اولین نصب آنتیویروس وجود نداشتند.
برخی از برنامهها شما را مجبور میکنند بهطوردستی همهی بخشهای سیستم را بررسی کنید و این امر باعث میشود بدافزار بهراحتی با روشهای از راه دور از کامپیوتر شما فرار کند. نرمافزارهای آنتیویروس در این شرایط پس از شناسایی تروجانها، آنها را در منطقهی قرنطینه قرار میدهند و منتظر میمانند تا کاربر وارد سیستم شود و خودش آن را حذف کند. دراینمیان، برخی از آنتیویروسها بهطورخودکار کل سیستم را بررسی و پس از شناسایی بدافزارها، آنها را فوراً حذف میکنند. این نوع ابزارهای آنتیویروس مؤثرترین نمونههای موجود درمقابل بدافزارهای Form Grabbing هستند.
اجتناب از ارتباطات بدون رمزنگاری
بهتر است از پرکردن فرم در وبسایتهایی که از رمزنگاری بهره نمیبرند، خودداری کنید. استفاده از پروتکل HTTPS امنیت بیشتری دارد و به بدافزارهای Form Grabbing و کی لاگرها اجازهی سرقت اطلاعات را نمیدهد. این پروتکل برای افزایش امنیت تبادل دادهها از رمزنگاری پیچیده استفاده میکند.
HTTPS نسخهی امنتر HTTP است و برای ارسال دادهها بین وبسایت و مرورگر استفاده میشود. وبسایتهایی که همچنان از HTTP بهره میبرند، بهواسطهی برخی از مرورگرهای محبوب جهان ازجمله گوگل کروم بهعنوان ناامن علامتگذاری میشوند؛ بنابراین، کاربران قبل از بازدید این نوع وبسایتها، پیام هشدار امنیت پایین را دریافت خواهند کرد. نماد قفل درکنار آدرس وبسایتها در نوار آدرس مرورگرها نشان میدهد که وبسایت مدنظر ازطریق پروتکل HTTPS کار میکند و امنیت فراوانی دارد.
علاوهبراین باید توجه کنید که HTTPS درواقع همان HTTP است، با این تفاوت که HTTPS از لایهی امنیتی انتقال دادهها (TLS) بهره میبرد و با رمزنگاری امن میان برنامههای کاربردی تحتوب و سرورها، امکان ارسال و دریافت ایمنتر اطلاعات را فراهم میکند.
علاوهبراین، وبسایتهایی که از HTTP استفاده میکنند، دادههای خود را بهصورت متنهای ساده انتقال میدهند و همین امر باعث میشود برخی عناصر مخرب بتوانند به دادههای آن دسترسی پیدا کنند.
از فهرست سیاه URL استفاده کنید
مطمئن شوید وبسایتی که قصد دارید از آن بازدید کنید در فهرستهای سیاه قرار نداشته باشد. برای این منظور ابتدا به این پیوند مراجعه و آدرس URL سایت مدنظر را در نوار جستوجو وارد کنید و اگر هشداری برایتان نمایش داده شد، یعنی احتمالاً با بازدید از آن وبسایت درمعرض خطر بدافزارها قرار خواهید گرفت. از بازدید وبسایتهای موجود در فهرستهای سیاه بهطورکامل خودداری کنید؛ زیرا اکثر آنها آلوده هستند.
راهاندازی دیوارههای آتش (FireWall)
شما میتوانید فهرست سیاه وبسایتها را به فایروال اضافه کنید تا مطمئن شوید هنگام مرور اینترنت بهطورتصادفی از آنها بازدید نخواهید کرد. متأسفانه صفحههای ناامن بسیاری وجود دارند که مسیرهای آلوده را تغییر میدهند. فایروال این تغییر مسیرها را مسدود و درعینحال از دادههای حساس دربرابر Form Grabbing محافظت خواهد کرد.
آیا میتوان از سیستم خود بهطورکامل درمقابل بدافزارهای Form Grabbing محافظت کرد؟
امکان دارد بدافزارهای Form Grabbing رایج باشند؛ اما راهکارهایی برای جلوگیری از نفوذ این ابزارها وجود دارد. بهعنوان مثال، افزونههای مرورگر خود را فقط از منابع مطمئن دانلود کنید. همچنین، فهرستی از وبسایتها و سرورهای آلوده میتوانید ایجاد و آن را به فهرست سیاه فایروال کامپیوتر خود اضافه کنید.
علاوهبراین، استفاده از برنامههای آنتیویروس مطرح روش بسیار خوبی برای محافظت دربرابر بدافزارهای Form Grabbing است؛ زیرا سیستم شما را بهطورخودکار برای شناساسی این عوامل تهدیدکننده بررسی و درصورت تشخیص، آنها را بلافاصله حذف میکنند. همچنین، میتوانید با اجتناب از بازدید وبسایتهایی که از پروتکل HTTP استفاده میکنند، به افزایش امنیت سیستم خود دربرابر بدافزارهای مذکور محافظت کنید.