تلگرام‌های تقلبی و آگهی افزارها، بزرگ‌ترین تهدید علیه کاربران موبایل در ایران هستند

براساس گزارشی که کسپرسکی با عنوان «تغییر و تحول بدافزارهای موبایل در سال 2018» (Mobile Malware Evolution 2018) منتشر کرده، ایران در رتبه یک بیشترین حملات از سوی بدافزارهای موبایلی در سال میلادی گذشته قرار داشته است. چگونه به این فرض رسیده و این اطلاعات را چطور جمع‌آوری کرده‌اید؟
در درجه اول، این یک فرض نیست. همه آمارها و اطلاعاتی که در گزارش ما آمده، از مشتریانی که به صورت داوطلبانه در زیرساخت ابری کسپرسکی با نام Kaspersky Security Network یا KSN مشارکت کرده‌اند،به دست آمده است. در واقع مشتریان از راه دور اطلاعاتی را درباره تهدیدات در سراسر جهان در اختیار ما می‌گذارند. بنابراین به طور کلی، ما تصویری از دورنمای تهدیدات را به صورت لحظه‌ای در اختیار داریم. این اطلاعات تحلیل شده و گزارش‌هایی براساس آن منتشر می‌شود.

نکته مهم این است که وضعیت دورنمای تهدیدات به طور مداوم در طول زمان تغییر می‌کند. برای مثال در سال 2018، اعضای بسیاری از گروه‌های جرایم سایبری مانند Carbanak and Cobalt در کشورهای مختلف اروپایی دستگیر شدند. پس از آن شاهد آن بودیم که فعالیت این گروه‌ها به طور قابل ملاحظه‌ای کاهش یافت، اما این کاهش فعالیت فقط مدت کوتاهی دوام آورد؛ زیرا این گروه‌های بزرگ منطقه‌ای، به تعداد زیادی گروه‌های کوچک جداگانه در کشورهای مختلف تقسیم شدند. به این ترتیب یک بار دیگر فعالیت مجرمانه سایبری آنها  شروع شد با این تفاوت که اندازه آن به بزرگی قبل نبود.

برای تهیه این گزارش به خصوص، ما آمار و اطلاعات را از مشتریان محصولات موبایلی خود در ایران و سایر نقاط جهان جمع‌آوری کردیم و به این نتیجه رسیدیم که بیشترین میزان آلودگی کشف شده در میان کاربران ایرانی در سال 2018، به آگهی‌افزارها (adware) باز‌می‌گردد. در کنار آن، استفاده از تلگرام‌های تقلبی، یکی دیگر از تهدیدات بزرگ علیه کاربران ایرانی است. این اپلیکیشن‌ها برای گسترش خود از ممنوعیت استفاده از تلگرام در ایران سوءاستفاده کرده و به سرقت اکانت و اطلاعات می‌پردازند. همچنین از تلگرام‌های تقلبی برای حملات (Advanced Persistent Threat (APT نیز استفاده می‌شوند.
 
به نظرم استفاده از آنتی‌ویروس برای موبایل چندان در ایران رایج نیست. با توجه به این که احتمالا تعداد کمی مشتری موبایل در ایران دارید، آیا این اطلاعات دقیق است؟
من چندان درباره تعداد مشتریان محصولات موبایلی کسپرسکی در ایران مطمئن نیستم ولی عدد خیلی کوچکی نیست و آمار به دست آمده قابل اتکا است.
 
کاربران برای محافظت از موبایل‌های‌شان چه باید بکنند؟
تعداد زیادی آنتی ویروس رایگان برای موبایل وجود دارد که استفاده از آنها بهتر از هیچ است. چند توصیه به کاربران موبایل دارم:

1- از راهکارهای مقابله با تهدیدات استفاده کنید.

2- از نرم‌افزار مدیریت گذرواژه (Password Manager) بهره ببرید.

3- اپلیکیشن‌های خود را تنها از منابع معتبر مانند گوگل‌پلی دریافت کنید. فروشگاه‌های اندرویدی جایگزین زیادی وجود دارند که در آنها بدافزارهای زیادی پیدا می‌شود.

4- یادتان باشد بدافزارها ممکن است در گوگل‌پلی هم باشند. به همین دلیل باید حتما دقت کنید که اپلیکیشن‌ها چه مجوزهایی (Permission) دریافت می‌کنند و به آنها اجازه ندهید هر چه می‌‌خواهند در اختیار داشته باشند.
 
ایران یکی از بزرگ‌ترین قربانیان جنگ‌افزارهاست و «استاکس‌نت»، یکی از مثال‌های مشخص در این زمینه است. رد چه تعداد جنگ‌افزار در ایران را گرفته‌اید؟
بسیار زیاد. امروزه در فضای سایبر، هرکسی به هرکسی حمله می‌کند و ایران هم استثنا نیست. ما تعداد زیادی حملات سایبری از سمت بازیگران پیشرفته تا ضعیف شناسایی کرده‌ایم که نمونه آن گروه‌های Equation و Zebrocy است.  Equation یکی از پیچیده‌ترین گروه‌های حملات سایبری در دنیا و پیشرفته‌ترین بازیگری است که تاکنون دیده‌ایم.

اما شاید گروه MuddyWater جذاب‌ترین آنها باشد. این تهدید پیچیده به عنوان یک جاسوس‌افزار فعالیت کرده و اخیرا متوجه حجم زیادی spear phishing (فیشینگ علیه گروه مشخصی از افراد یا کسب و کارها) از سوی آن شده‌ایم که سازمان‌های دولتی، نهادهای نظامی، شرکت‌های مخابراتی و موسسات آموزشی را در اردن، ترکیه، آذربایجان، پاکستان، عراق، عربستان سعودی، مالی، اتریش، روسیه، بحرین و ایران هدف قرار داده است.
 
خاستگاه MyddyWater از کجاست؟
پاسخ این سوال برای ما هم بسیار جالب است. در این مورد به طور دقیق نمی‌توانیم بگوییم چه بازیگری در پشت این عملیات قرار دارد، اما تعداد زیادی کلمات فارسی و چینی، و نام‌هایی که در پاکستان مرسوم هستند را مرتبط با فعالیت‌های آن یافته‌ایم.
 
ممکن است یک دولت پشت سر این عملیات باشد؟
بله. ما فکر می‌کنیم یک اسپانسر در سطح ملی از چنین عملیاتی حمایت می‌کند. MuddyWater نسبت به ZooPark که یکی دیگر از بازیگران حملات APT است که در ایران قربانی گرفته است، از تجهیزات پیشرفته‌ای بهره می‌برد.
 
چگونه تهدیدات را شناسایی کرده و از مشتریان‌تان محافظت می‌کنید؟
ما حدود 4 هزار محقق در شرکت کسپرسکی و 350 محقق در ساختمان اصلی داریم که مسوول کیفیت امنیت ارایه شده در محصولات‌مان هستند. بخشی از این گروه به صورت 24 ساعته و در سه شیفت کار می‌کنند تا بتوانیم بلافاصله به برخی تهدیدات پاسخ دهیم. بخش بزرگ‌تر این تیم، مسوول بررسی انواع خاصی از تهدیدات، مانند حملات تحت وب یا حملات هدفمند و... هستند.

شاید 15 سال پیش، امکان این که همه تهدیدات را به صورت دستی و با استفاده از نیروی انسانی بررسی کنید وجود داشت. اما اکنون ما روزانه 380 هزار نمونه یکتا دریافت می‌کنیم. به همین دلیل از سیستم‌های مختلف خودکار استفاده کرده که براساس یادگیری ماشین (machine-learning) به طور مداوم توسعه یافته و تهدیدات را شناسایی می‌کند. البته بخش کوچکی از تهدیدات به طور ویژه بررسی می‌شوند که همین بخش کوچک، بخش مهمی از کار ما را تشکیل می‌دهد. چرا که این بخش همان قسمتی است که به صورت خودکار قابل شناسایی نیست. به محض این که یک نمونه بررسی و تهدیدی شناسایی شد، این مورد به اطلاعات سیستم افزوده می‌شود تا در آینده به صورت خودکار شناسایی شوند.

همچنین ما تیمی از دانشمندان داده را در اختیار داریم که همواره به دنبال توسعه مدل‌های جدید یادگیری ما‌شین هستند. در حال حاضر سیستم‌های خودکار کسپرسکی از 2 هزار سرور برای تحلیل 2 میلیون و 500 هزار نمونه در روز استفاده می‌کنند. 15 سال پیش، تنها 15 هزار مورد برای بررسی در روز وجود داشت.
 
آیا در میان عرضه‌کنندگان محصولات امنیتی، همکاری متقابلی وجود دارد؟
بله. فکر می‌کنم این فرایند همکاری از 20 سال پیش راه افتاده است چرا که همه ما می‌خواهیم دنیایی امن‌تر داشته باشیم. به همین دلیل تهدیدات واقعی را با هم و به رایگان به اشتراک می‌گذاریم.
 
کاربران به چه استراتژی دفاعی برای مقابله با تهدیدات نیازمند هستند؟
استراتژی دفاعی، موضوع مورد علاقه من است. امنیت سایبری یک محصول نیست بلکه یک فرایند است. به طور کلی، ما نیازمند پیش‌بینی، پیشگیری، شناسایی و پاسخگویی هستیم.

در درجه اول ما باید تهدیدات را شناسایی کنیم. در این راه گزارش‌هایی با عنوان threat intelligence reports را در اختیار مشتریان‌مان قرار می‌دهیم. اگر شما مشتری ما در ایران باشید، این گزارش به شما نشان می‌دهد که چه تهدیداتی این منطقه را هدف قرار داده است. همچنین می‌توانید امنیت سایبری خود را اندازه‌گیری کرده، راهکارهایی را آماده کرده و میزان آمادگی خود را دربرابر حملات خاص منطقه خود، تخمین بزنید.

مرحله بعدی پیشگیری است. اگر از یک راهکار پیشگیری استفاده نمی‌کنید، پس شما آسیب‌پذیر هستید. برای مثال سال گذشته، کسپرسکی آسیب‌پذیری‌هایی را در محصولات مایکروسافت و به ویژه در سیستم عامل این شرکت کشف کرد. استفاده از محصولات پیشگیرانه، به شما این امکان را می‌دهد که به محض آنالیز آسیب‌پذیری از سوی ما، از رخنه احتمالی جلوگیری کنید. البته حملات هدفمند قادر به دور زدن مکانیزم پیشگیری هستند و به همین دلیل استفاده از مکانیزم‌های دفاعی دیگری چون راهکارهای ضدحملات APT و MDR یا managed detection and response توصیه می‌شود.

راهکارهای MDR خدمات امنیت سایبری ویژه‌ای‌ را برای مشتریان فراهم می‌آورد و محیط و شبکه مشتری به طور ویژه تحلیل می‌شود. همچنین در برخی موارد، پاسخگویی سریع به حملات برای کاهش صدمات به سازمان اهمیت فراوانی دارد.

پس از همه این موارد، باید بگویم مهم‌ترین موضوع، آگاهی‌بخشی است و سازمان‌ها باید دانش کارمندان خود را افزایش داده تا اثر عوامل انسانی به عنوان مهم‌ترین ریسک‌فاکتور در امنیت سایبری را کاهش دهند.
 
اکنون در کشور ما یک آنتی ویروس ایرانی به اسم پادویش در حال فعالیت است و دولت ایران به دستگاه‌های دولتی دستور داده که از این راهکار استفاده کنند. برخی می‌گویند مشابه این دستور، در روسیه برای کسپرسکی هم صادر شده و یکی از علل پیشرفت آنها همین موضوع بوده است. آیا چنین چیزی صحت دارد؟
نه. در روسیه همواره حداقل دو عرضه کننده آنتی‌ویروس یعنی کسپرسکی و دکتروب با هم در رقابت بوده‌اند و هرگز دولت اجباری برای خرید از این دو شرکت قایل نشده است. البته وجود عرضه‌کنندگان کوچک آنتی‌ویروس در کشورهای مختلف دیده می‌شود که نمونه موفق آن شرکت AhnLab در کره جنوبی است.

 
به عنوان یک کارشناس امنیت سایبری، آیا به نظر شما منطقی است که تنها از یک راهکار برای محافظت سایبری از کل مجموعه یک دولت استفاده شود؟
پاسخ به این سوال کمی مشکل است؛ چرا که بستگی به راهکارهای در دسترس مشتریان، نیازها و تهدیدات فعلی و همچنین استراتژی ملی سایبری کشور دارد. شخصا معتقدم استفاده از راهکارهای متنوع، حتی اگر این راهکارها قدرت بالایی نداشته باشند، راهکار موثرتری نسبت به استفاده از تنها یک راهکار امنیت سایبری است.
 
آیا استفاده از یک راهکار یکتا، سبب نمی‌شود تا اگر یک هکر به ضعفی در سیستم برخورد، بتواند هم‌زمان حمله گسترده‌ای به بخش‌های مختلف یک دولت انجام دهد؟
بله البته. کافی است رخنه‌ای در سیستم پیدا شود و آن وقت همه سازمان‌هایی که با یک وندور همکاری می‌کنند، آسیب‌پذیر خواهند بود. البته باز هم بستگی به استراتژی سایبری شما دارد. برخی می‌گویند استفاده از راهکارهای متنوع، امنیت بیشتری فراهم می‌کند و برخی دیگر معتقدند یکپارچگی راهکارها، کاربری و نگهداری و پشتیبانی آسان‌تری را به ارمغان می‌آورد.
 
به عنوان آخرین سوال، برخی می‌گویند دوره محصولات Endpoint رو به پایان است. آیا این بدان معنی است که دیگر رقابتی در این حوزه وجود نخواهد داشت و محصولات امنیتی برای مصرف کننده نهایی، به رایگان عرضه خواهد شد و به جای آن عرضه‌کنندگان، روی سامانه‌های شناسایی و محصولات در لبه تکنولوژی تمرکز خواهند کرد؟
سوال بسیار جالبی است. از نظر من دو نوع مختلف عرضه کننده محصولات امنیت سایبری وجود دارد. نخست ارایه دهندگان کلاسیک راهکارهای ضدبدافزار، مانند کسپرسکی و سیمانتک، هستند که روی قابلیت‌های حفاظت و پیشگیری تمرکز کرده‌اند. دوم عرضه کنندگان راهکارهای شناسایی و پاسخگویی (Endpoint Detection and Response) هستند. آنها به طور خاص بر شبکه مشترکان نظارت کرده تا تجهیزات بیشتری برای آنها که می‌خواند محافظت بالاتری داشته ‌باشند خلق کنند. ما چنین خدماتی را نیز به مشتریان ارایه می‌دهیم.

اما برای پاسخ به سوال شما، فکر می‌کنم لایه‌های عمومی حفاظت، رایگان خواهد بود. برای مثال Microsoft Windows Defender محصول بسیار خوبی برای فراهم کردن سطح متوسطی از امنیت، با توجه به آزمون‌های مستقل است. اما دقت کنید که این محصول تنها سطح متوسطی را فراهم کرده و مشتریان باید انتخاب کنند: آیا تنها سطح متوسط رایگانی از امنیت را می‌خواهند یا به حفاظتی ویژه‌تر برای کاهش ریسک صدمات احتمالی به سازمان‌شان نیاز دارند.

در نهایت فکر نمی‌کنم حداقل در کوتاه مدت، قابلیت‌های امنیتی ارایه شده از سمت عرضه‌کنندگان بزرگ راهکارهای امنیتی، رایگان شود.