هکرها منتظر حضور شما در فضای مجازی هستند

داستان نفوذ به سیستم‌های ارتباطی و دیجیتال، به دهه‌ها قبل بازمی‌گردد؛ زمانی که هنوز خبری از اینترنت به شکل امروزی نبود. اواخر دهه ۱۹۵۰، یک نوجوان نابینا به نام «جو انگریسیا» نشان داد که حتی پیچیده‌ترین سیستم‌های مخابراتی نیز می‌توانند با یک درک دقیق از نقاط ضعفشان فریب داده شوند. کمی بعد، در فضای دانشگاهی و به‌ویژه در MIT، واژه هکر نه به‌عنوان مجرم، بلکه برای توصیف افرادی به کار می‌رفت که با خلاقیت، مسیر‌های میان‌بر و هوشمندانه‌ای برای حل مسائل پیدا می‌کردند. با گسترش شبکه‌های کامپیوتری در دهه‌های بعد، این مفهوم به‌تدریج تغییر ماهیت داد؛ هک کردن از یک کنجکاوی فنی به تهدیدی جدی برای دولت‌ها و سازمان‌ها تبدیل شد. ظهور هکرهایی مانند «کوین میتنیک» که با تکیه بر مهندسی اجتماعی به سیستم‌های بزرگ نفوذ می‌کرد و همچنین انتشار بدافزار‌هایی که اختلالات گسترده ایجاد کردند، نشان داد که امنیت سایبری دیگر فقط به فناوری وابسته نیست، بلکه به شناخت رفتار انسان و ساختار سیستم‌ها گره خورده است.

حمله اصلی قبل از هک شروع می‌شود

جو انگریسیا، نوجوان نابینایی بود که با سوت زدن(تکنیک Blue Boxing) با فرکانس ۲۶۰۰ هرتز، انقلابی در هک تلفنی (Phreaking) ایجاد کرد و سیستم تلفن دهه ۱۹۵۰ را فریب داد

بخش مهمی از حملات سایبری، نه در لحظه نفوذ، بلکه در مرحله شناسایی اتفاق می‌افتد. این مرحله خود به دو دسته فعال و غیرفعال تقسیم می‌شود. در شناسایی غیرفعال، مهاجم هیچ ردپایی بر جای نمی‌گذارد (مانند جستجوی عمومی در شبکه‌های اجتماعی، موتور‌های تخصصی و دیتابیس‌های افشاشده) و شناسایی فعال که با ارسال بسته‌های شبکه‌ای (Pocket Data) به هدف همراه است. در ادامه، چهار تکنیک کلیدی مرحله شناسایی بررسی می‌شود.

اسکن فعال؛ نخستین گام نقشه‌برداری از هدف

یکی از رایج‌ترین روش‌هایی که مهاجمان به کار می‌گیرند، اسکن فعال است. در این فرآیند، مهاجم با ارسال بسته‌های شبکه‌ای خاص (مانند SYN، ACK یا UDP) به سیستم‌های هدف و تحلیل پاسخ‌های دریافتی، تلاش می‌کند اطلاعاتی مانند وضعیت پورت‌ها، نوع سرویس‌ها و نحوه پاسخ‌گویی سیستم را استخراج کند. این داده‌ها در واقع نقشه اولیه‌ای از شیوه حمله به هدف در اختیار مهاجم قرار می‌دهد. ابزار استاندارد و قدرتمندی که متخصصان امنیت و هکر‌ها برای این کار استفاده می‌کنند، Network Mapper) Nmap) نام دارد که قادر است در چند ثانیه صد‌ها دستگاه را اسکن کرده و پورت‌های باز آنها را فهرست کند.

جزئیاتی که مسیر حمله را مشخص می‌کند

پس از مرحله اسکن پورت، نوبت به جمع‌آوری اطلاعات دقیق‌تر از سرویس‌های در حال اجرا می‌رسد. تکنیکی به نام «بنر برداری» (Banner Grabbing) در اینجا کاربرد دارد. مهاجم با اتصال مستقیم به یک پورت باز (مثلاً پورت ۸۰ وب‌سرور) و ارسال یک درخواست ساده، بنر یا پیام خوش‌آمدگویی سرویس را دریافت می‌کند. این بنر اغلب شامل نام و نسخه نرم‌افزار مانند Apache/۲.۴.۴۹ (Unix) است. همین یک رشته متن می‌تواند مهاجم را به سمت آسیب‌پذیری‌های شناخته‌شده مخصوص آن نسخه هدایت کند. علاوه بر این، مهاجمان با تحلیل پاسخ‌های متفاوت سیستم‌عامل‌ها به بسته‌های خاص، نوع سیستم‌عامل دستگاه هدف را نیز تشخیص می‌دهند.

نخستین استفاده ثبت‌شده از واژه «هکر» در کامپیوتر، به ۲۰ نوامبر ۱۹۶۳ و روزنامه دانشجویی MIT بازمی‌گردد

شناسایی نامحسوس کاربران

یکی دیگر از روش‌های مورد استفاده، تحلیل اطلاعاتی است که کاربران ناخواسته در تعاملات اینترنتی خود ارسال می‌کنند. هدر User-Agent در درخواست‌های HTTP اطلاعاتی درباره نوع مرورگر، سیستم‌عامل و نسخه نرم‌افزار ارائه می‌دهد. اما هکر‌های حرفه‌ای به این هدر ساده بسنده نمی‌کنند. آنها از شاخه گسترده‌تری به نام «اثرانگشت مرورگر» (Browser Fingerprinting) استفاده می‌کنند که شامل جمع‌آوری داده‌هایی مانند وضوح صفحه، فونت‌های نصب‌شده، افزونه‌های فعال، منطقه زمانی و حتی نحوه رندر شدن گرافیک توسط مرورگر است. ترکیب این اطلاعات، یک شناسه تقریباً یکتا از هر کاربر می‌سازد که حتی با تغییر User-Agent نیز به‌سختی قابل پنهان کردن است. البته خود هکر‌ها نیز معمولاً هدر User-Agent را جعل می‌کنند تا هویت واقعی خود یا ربات بودنشان را مخفی کنند.

جمع‌آوری اطلاعات هویتی و شبکه‌ای؛ تکمیل پازل نفوذ با OSINT

در مرحله‌ای پیشرفته‌تر، مهاجمان به سراغ اطلاعات هویتی کاربران و ساختار شبکه می‌روند. این تکنیک در حوزه «هوش اطلاعاتی از منابع باز» (OSINT - Open Source Intelligence) قرار می‌گیرد.

اولین کرم اینترنتی جهان (برنامه‌ای که توانایی بازتولید خود را دارد و با استفاده از شبکه، کپی‌های خود را به دیگر رایانه‌های موجود در شبکه می‌فرستد) در سال ۱۹۸۸ توسط رابرت موریس ساخته شد و نزدیک به ۱۰ درصد از کل اینترنت آن زمان را در ۲۴ ساعت از کار انداخت

مهاجم بدون ارسال یک بسته به شبکه هدف، اطلاعاتی مانند ایمیل‌ها، نام کارکنان، روش‌های احراز هویت و حتی توپولوژی داخلی شبکه را از منابع عمومی مانند شبکه‌های اجتماعی (به ویژه لینکدین، فیسبوک و اینستاگرام)، وب‌سایت‌های شرکتی، مخازن کد عمومی (مثل گیت‌هاب)، اسناد افشاشده در وب‌سایت‌های پستی و ابرداده فایل‌های آپلودشده توسط کارکنان، استخراج می‌کند. ترکیب این اطلاعات، امکان طراحی حملات دقیق و شخصی‌سازی‌شده مانند فیشینگ هدفمند (Spear Phishing) یا سوءاستفاده از روابط سازمانی را فراهم می‌کند.

بررسی این چهار تکنیک نشان می‌دهد که حملات سایبری بیش از آنکه به مهارت نفوذ وابسته باشند، به شناخت دقیق و جمع‌آوری اطلاعات کافی از هدف متکی هستند. مهاجمان با صرف زمان برای جمع‌آوری اطلاعات چه به صورت غیرفعال و چه فعال، ریسک شناسایی خود را کاهش داده و شانس موفقیت حمله را افزایش می‌دهند. در چنین شرایطی، آگاهی کاربران و سازمان‌ها از تفاوت این روش‌ها، کمک گرفتن از متخصصین حوزه امنیت شبکه و آموزش در برابر فیشینگ هدفمند، می‌تواند به‌عنوان نخستین خط دفاعی عمل کرده و از تبدیل شدن اطلاعات ساده به تهدیدی جدی جلوگیری کند.