کمیته رکن چهارم – گزارشها نشان میدهد حملات کلاهبرداری سایبری بهسمت ساختارهای چندمرحلهای حرکت کردهاند که در آن بازیگران و ابزارهای مختلف در هر مرحله نقش جداگانهای ایفا میکنند.
به گزارش کمیته رکن چهارم، در مدلهای جدید کلاهبرداری، مهاجمان دیگر به یک روش یا ابزار خاص متکی نیستند، بلکه از یک زنجیره هماهنگ شامل ایجاد حساب، پنهانسازی هویت، نفوذ و در نهایت کسب درآمد استفاده میکنند. این رویکرد باعث میشود شناسایی و مقابله با حملات دشوارتر شود.
در این زنجیره، مرحله اولیه معمولاً با استفاده از رباتها و اسکریپتها برای ایجاد انبوه حسابهای کاربری آغاز میشود. این حسابها اغلب با استفاده از ایمیلهای قدیمی یا اطلاعات افشاشده ساخته میشوند تا رفتار آنها طبیعی بهنظر برسد. سپس با بهرهگیری از پروکسیهای خانگی، ترافیک بهگونهای تنظیم میشود که مشابه کاربران واقعی باشد.
در ادامه، فعالیتها از حالت کاملاً خودکار به تعاملات انسانی تغییر میکند تا شناسایی آنها دشوارتر شود. در مراحل بعدی، حملاتی مانند تصاحب حساب، فیشینگ یا سوءاستفاده از اطلاعات کاربری برای کسب درآمد انجام میشود.
بررسیها نشان میدهد تکیه بر یک شاخص امنیتی، مانند IP یا ایمیل، دیگر کارایی لازم را ندارد. این رویکرد میتواند باعث مسدود شدن کاربران واقعی شود، در حالی که مهاجمان حرفهای بهراحتی از آن عبور میکنند.
در مقابل، رویکردهای جدید مبتنی بر تحلیل همزمان چندین سیگنال هستند. این سیگنالها شامل اطلاعاتی مانند رفتار کاربر، ویژگیهای دستگاه، الگوهای دسترسی و دادههای شبکه میشوند. ترکیب این دادهها امکان شناسایی دقیقتر تهدیدات را فراهم میکند.
بهعنوان نمونه، در یک پلتفرم خدماتی، استفاده از مدلهای چندسیگنالی باعث شد خوشههایی از فعالیتهای مشکوک شناسایی شوند و اقدامات امنیتی بهصورت هدفمند تنها روی کاربران پرریسک اعمال شود، بدون اینکه تجربه کاربران عادی مختل شود.
پیشزمینه
با افزایش پیچیدگی حملات سایبری، مهاجمان بهطور فزایندهای از ترکیب ابزارها و تقسیم وظایف میان مراحل مختلف استفاده میکنند. این روند نشاندهنده حرفهایتر شدن فعالیتهای مجرمانه و حرکت بهسمت مدلهای سازمانیافتهتر در فضای سایبری است.
