جاسوس‌افزار چیست؟

جاسوس‌افزار یا نرم‌افزار جاسوسی نوعی بدافزار یا نرم‌افزار ناخواسته و مخرب است که برای افشای اطلاعات حساس، سرقت داده‌های مربوط به مصرف اینترنت، دسترسی یافتن و یا آسیب رساندن به دستگاه شما طراحی‌شده است.
هر نرم‌افزاری را که بدون مجوز و ناآگاهانه در دستگاه کاربر دانلود می‌شود، می‌توان به‌عنوان جاسوس‌افزار طبقه‌بندی کرد. حتی جاسوس‌افزارهایی که ظاهراً بی‌خطرند، در واقع حریم خصوصی کاربر را نقض می‌کنند و همیشه این امکان را دارند که از اطلاعات کاربر سوء‌استفاده کنند. جاسوس‌افزار در درجه اول تهدیدی سایبری است که خطر افشای اطلاعات خصوصی، شماره کارت اعتباری، اطلاعات محرمانه درمانی (PHI) اطلاعات هویتی شخصی (PII) یا اطلاعات ورود به حساب‌های کاربری را به دنبال دارد.

جاسوس‌افزار چگونه کار می‌کند؟

جاسوس‌افزار در بی‌خطرترین حالت باعث فعالیت ناخواسته CPU، Disk Usage، اختلال در اتصال به اینترنت، ناپایداری سیستم‌عامل، هنگ کردن اپلیکیشن‌ها، بوت نشدن و خرابی کل سیستم می‌شود.
اثرات جاسوس‌افزارها ممکن است به چشم بعضی از کاربران آشکار نباشد و گمان ‌کنند که اختلالات عملکردی سیستم مربوط به خرابی یا به‌روز نبودن نرم‌افزارهای نصب‌شده یا آلودگی به بدافزارهای دیگری است. این امر می‌تواند هزینه‌های پشتیبانی فنی به بار بیاورد و یا حتی به خاطر کند شدن سرعت سیستم کامپیوتری، کاربران را به فکر خرید یک کامپیوتر جدید بیندازد.

جاسوس‌افزارهای تهاجمی‌تر، صفحات اصلی مرورگر را ریست می‌کنند، سرخود pop-up های تبلیغاتی نمایش می‌دهند، مسیر جست‌وجوهای وب را تغییر می‌دهند و بر امنیت مرورگرها تأثیر می‌گذارند.
در مخرب‌ترین حالت، جاسوس‌افزار تمام فعالیت‌های کامپیوتر مورد نظر را ردیابی می‌کند، داده‌های حساس، پسوردها، شماره‌های کارت اعتباری و اطلاعات بانکی که به جاسوسی تجاری یا حملات سایبری دیگر کمک می‌کند، را افشا می‌کند.
بعضی از جاسوس‌افزارها، فایروال‌ها و نرم‌افزارهای آنتی‌ویروس را غیرفعال می‌کنند، تنظیمات امنیتی مرورگر را محدود و وکتورهای حمله جدید را باز می‌کنند. هدف این گونه‌های تهاجمی حذف یا از کار انداختن برنامه‌های ضدجاسوس‌افزاری است برای اینکه قربانی نتواند کار خاصی انجام دهد و یا از ابزارهای مقابله با نرم‌افزارهای جاسوسی استفاده کند.

با قدرتمندترین آنتی‌ویروس‌های دنیا از اندپوینت‌های خود محافظت کنید!

چه دستگاه‌هایی توسط جاسوس‌افزارها آلوده می‌شوند؟

جاسوس‌افزارها می‌توانند PC ها، مک، iOS، اندروید، یونیکس و بسیاری از سیستم‌عامل‌های دیگر را آلوده کنند. سیستم‌عامل مایکروسافت ویندوز بیشتر از سیستم‌عامل‌های دیگر در معرض خطر هستند. این مسئله به دلیل محبوبیت زیاد ویندوز نسبت به Apple و دیگر سیستم‌عامل‌های مبتنی بر Unix نیز هست.

راه‌های ورود جاسوس‌افزارها چیست؟

جاسوس‌افزار از راه‌های مختلفی نفوذ می‌کند. یک روش رایج این است که کاربران را فریب دهد تا از طریق ایمیل، پیام‌های متنی، pop-up یا تبلیغات، به وب‌سایت‌های مخرب کشانده شوند.
کاربران حتی بدون اینکه کاری انجام دهند هم آلوده می‌شوند. در بعضی مواقع، تبلیغات آلوده از طریق یک وب‌سایت قانونی در سیستم قربانیان احتمالی نفوذ می‌کند که به‌عنوان تبلیغات مخرب (malvertising) نیز شناخته می‌شود.
مجرمان سایبری نرم‌افزارهای جاسوسی را از طریق مهندسی اجتماعی، فیشینگ یا فیشینگ ایمیلی هدفمند جوری منتشر می‌کنند که به نظر برسد از منبع معتبری ارسال شده‌اند.

مجرمان سایبری نرم‌افزارهای جاسوسی را از طریق مهندسی اجتماعی، فیشینگ یا فیشینگ ایمیلی هدفمند جوری منتشر می‌کنند که به نظر برسد از منبع معتبری ارسال شده‌اند.

ممکن است کاربران نرم‌افزارهای مجاز را همراه با نرم‌افزارهای جاسوسی دانلود کنند. مثل وقتی که نرم‌افزارهای جاسوسی موبایلی همراه با برنامه‌های قانونی از بررسی‌های گوگل و اپل عبور می‌کند و در گوگل پلی یا اپ‌استور منتشر می‌شود. درک این نکته ضروری است که نرم‌افزارهای جاسوسی لزوماً مانند سایر بدافزارها یا کرم‌های رایانه‌ای (worms) پخش نمی‌شوند. به‌طور کلی، نرم‌افزارهای جاسوسی به انتقال یا سرایت خود به سایر دستگاه‌ها اهمیتی نمی‌دهند و تنها یک هدف برای نفوذ دارند.

نرم‌افزارهای جاسوسی از طریق فریب دادن کاربر، همراه کردن خود با نرم‌افزارهای دیگر یا سوء‌استفاده از آسیب‌پذیری‌های مرورگرهای وب و سیستم‌عامل‌ها بر دستگاه مورد نظر نصب می‌شوند. مثلا مرورگر اینترنت اکسپلورر به خاطر محبوبیت، سابقه مشکلات امنیتی، ادغام عمیق با سیستم‌عامل ویندوز و افزونه‌ی Browser Helper Objects که به مهاجمان اجازه می‌دهد رفتار مرورگر را تغییر دهند، همیشه مورد هدف مهاجمان بوده است. آسیب‌پذیری‌های مرورگرها اغلب به‌خوبی شناخته‌شده، پچ ‌شده و در CVE لیست می‌شوند.

انواع جاسوس‌افزار چیست؟

جاسوس‌افزارها را می‌توان در 9 دسته طبقه‌بندی کرد:

1. Adware: هر نرم‌افزاری که تبلیغات را موقع اجرای برنامه در مرورگر وب یا به صورت pop-up نمایش می‌دهد. نرم‌افزارهای Adware معمولاً با نرم‌افزارهای رایگان یا برنامه‌های دیگر همراه هستند تا با این حقه آنها را بر روی رایانه، تبلت یا تلفن هوشمند خود نصب کنید.

2. ردیاب کوکی: این بدافزار الگوهای وب‌گردی کاربر و فعالیت‌های آنلاین مانند بازدید از صفحات وب، جستجوها، هیستوری وب و دانلودها را برای بازاریابی ردیابی می‌کند. شرکت‌هایی مثل فیس‌بوک و گوگل با استفاده از کوکی‌ها فعالیت‌های اینترنتی کاربران را برای تبلیغات هدفمند ردیابی می‌کنند.

3. اسب تروآ: هر برنامه‌ای که با جعل ظاهر یک برنامه معتبر، کاربران را از قصد واقعی خود گمراه کند. «اسب تروآ» از داستانی متعلق به یونان باستان گرفته شده است که منجر به سقوط شهر تروآ شد. تروآها معمولاً از طریق مهندسی اجتماعی، پیوست‌ آلوده‌ی ایمیل‌ها، فیشینگ و کمپین‌های فیشینگ منتشر می‌شوند. تروآها بعد از نصب، داده‌های حساس را افشا کرده و حملات سایبری دیگری مثل حملات باج‌افزارها ترتیب می‌دهند.

4. کی‌لاگر (Keylogger): نوعی نرم‌افزار مانیتورینگ سیستم است که توسط مجرمان سایبری برای سرقت اطلاعات هویتی شخصی (PII)، اطلاعات محرمانه درمانی (PHI) و داده‌های سازمانی به منظور جاسوسی شرکت‌ها استفاده می‌شود. کارفرمایان از کی‌لاگر برای نظارت بر فعالیت‌های کامپیوتری کارکنان، والدین برای نظارت بر فعالیت‌های اینترنتی کودکان، صاحبان دستگاه برای ردیابی فعالیت‌های غیرمجاز، سازمان‌های مجری قانون برای فارنزیک دیجیتال یا رقبای تجاری برای جاسوسی صنعتی استفاده می‌کنند.

5. Stalkerware: معمولاً روی دستگاه‌های تلفن همراه نصب می‌شود تا فعالیت و موقعیت مکانی صاحب تلفن توسط شخص سومی قابل ردیابی باشد.
6. Stealware: این نوع بدافزارها درخواست‌ها را (بیشتر درخواست‌های پرداخت آنلاین) رهگیری و اطلاعات کارت اعتباری قربانی را سرقت می‌کنند.

7. سیستم‌مانیتور: فعالیت‌های یک سیستم از کلیک‌ها و ایمیل‌ها گرفته تا وب‌سایت‌های بازدیدشده و برنامه‌های لانچ‌شده را ضبط می‌کند. تیم‌های امنیت سایبری می‌توانند از سیستم‌مانیتورها برای مانیتورینگ فرآیندهای سیستم، شناسایی آسیب‌پذیری‌ها، نصب نرم‌افزارها، افزونه‌ها، نرم‌افزارهای امنیتی یا آنتی‌ویروس‌ها، هماهنگی تنظیمات امنیتی و wipe کردن هارددرایوها استفاده کنند. مجرمان سایبری نیز می‌توانند با استفاده از این نوع جاسوس‌افزار تمام روش‌های گفته‌شده در بالا را اکسپلویت کرده و از این طرق حملات خود را پیش ببرند.

8. Web beacons: برای رصد مخفیانه‌ی دسترسی کاربر به کانتنتی خاص و تجزیه و تحلیل وب، تگ‌گذاری صفحات یا ردیابی ایمیل به کار می‌رود. شرکت‌ها با استفاده از Web beacons رفتارهای آنلاین کاربران را ردیابی می‌کنند.
9. جاسوس‌افزارهای تلفن همراه: عموماً از طریق برنامه‌های آلوده یا پیام‌های متنی که آسیب‌پذیری‌ها را اکسپلویت می‌کنند، منتشر می‌شوند و برای اجرا نیازی به تعامل کاربر ندارند. به محض آلوده شدن تلفن‌های هوشمند یا تبلت‌ها، مواردی مثل لوکیشن کاربر، دوربین، میکروفون، تماس‌های تلفنی، کلیک‌ها و فعالیت‌های اینترنتی کاربران افشا می‌شود.

راه‌های مقابله با جاسوس‌افزارها

با گسترش هر چه بیشتر جاسوس‌افزارها، راه‌های مقابله با آنها هم افزایش یافته است. بهترین روش‌ها عبارت‌اند از:

• مانیتورینگ اطلاعات فاش‌شده و نشت داده‌ها
• دانلود نرم‌افزارها از منابع معتبر
• خواندن دقیق و کامل شرایط استفاه از نرم‌افزارها هنگام نصب
• اجتناب از تعامل یا بلاک کردن تبلیغات آنلاین
• به‌روز نگه‌داشتن سیستم‌عامل و سایر نرم‌افزارها برای جلوگیری از آسیب‌پذیری‌های شناخته‌شده
• استفاده از اصل حداقل دسترسی و کنترل دسترسی برای محدود کردن نوع نرم‌افزارهای قابل نصب توسط کاربران
• سرمایه‌گذاری برای افزایش آگاهی و آموزش امنیت سایبری و خطرهای مهندسی اجتماعی، فیشینگ و کمپین فیشینگ هدفمند به کارکنان
• استفاده از DMARC برای به حداقل رساندن خطر جعل ایمیل
• اجتناب از محتوا و برنامه‌های کرک‌شده و سرقت‌شده از جمله بازی، فیلم و موسیقی
• استفاده از احراز هویت دو مرحله‌ای یا بیومتریک
• سرمایه‌گذاری در نرم‌افزارهای معتبر ضدجاسوس‌افزار، آنتی‌ویروس و امنیت سایبری
• الزام کارکنان دورکار به استفاده از یک شبکه خصوصی مجازی برای جلوگیری از حملات MITM (Man in the Middle)
• پیروی از چارچوب امنیت سایبری NIST
• تدوین خط مشی امنیت اطلاعات و برنامه مدیریت ریسک اطلاعات
• استفاده از یک استراتژی دفاع در عمق یا defense in depth که امنیت اطلاعات، امنیت داده‌ها و امنیت شبکه را پوشش می‌دهد

یکی از مهم‌ترین بخش‌هایی که اغلب در پیشگیری از آلودگی جاسوس‌افزار نادیده گرفته می‌شود، مدیریت ریسک تامین‌کننده است. استانداردهای امنیت داخلی شما در واقع تا سطح بدترین ارائه‌دهنده سرویس پایین می‌آید.
با توسعه سیاست مدیریت تامین، چارچوب مدیریت ریسک شخص ثالث و پیش‌نویس پرسش‌نامه ارزیابی ریسک تامین شروع کنید. اگر تخصصی در این زمینه ندارید، روی نرم‌افزار مدیریت ریسک تامین‌کنندگان سرمایه‌گذاری کنید که برای شما مدیریت ریسک تامین را به صورت خودکار انجام می‌دهد، و به هر کدام از تامین‌کنندگان شما یک رتبه امنیتی اختصاص می‌دهد تا با استفاده از آن دریابید که کدام تامین کنندگان بیشتر از همه در معرض ریسک قرار دارند.

نحوه تشخیص و حذف جاسوس‌افزار

نرم‌افزارهای جاسوسی طوری طراحی شده‌اند که فریبنده باشند؛ به این ترتیب تشخیص این بدافزارها دشوار است. از اولین نشانه‌های آلودگی به نرم‌افزارهای جاسوسی کاهش قدرت پردازش سیستم یا سرعت اینترنت است. از نشانه‌های این آلودگی در تلفن همراه نیز افزایش غیرمنطقی حجم مصرفی اینترنت و کاهش عمر باتری است.
در این زمینه برنامه‌های ضد‌جاسوس‌افزاری هستند که مثل نرم‌افزارهای آنتی‌ویروس، با استفاده از فیچر Real-Time Protection تمامی داده‌های ورودی شبکه را اسکن و داده‌های مشکوک را بلاک می‌کنند. در عین حال بدافزارهای جاسوسی که از قبل در کامپیوتر در حال اجرا بوده‌اند را نیز شناسایی و پاکسازی می‌کنند. این کار را از طریق مشاهده کانتنت‌های رجیستری ویندوز، فایل‌های سیستم‌عامل، برنامه‌های نصب‌شده برای تشخیص شناسه‌های (Signature) رفتاری بدافزارها انجام می‌دهند.

این ابزارها دیتابیس برای ذخیره‌سازی تهدیدات دارند که به طور مداوم آن را با جدیدترین ساخته‌های مجرمان امنیت سایبری به‌روز می‌‌کنند.
علاوه بر این، ISP ها و ادمین‌های شبکه ممکن است از فایروال و پروکسی وب برای مسدود کردن دسترسی به وب‌سایت‌هایی که بابت نصب نرم‌افزارهای جاسوسی شناخته شده‌اند، مانتیورینگ جریان اطلاعات رفت و برگشت به یک کامپیوتر شبکه‌ و نصب فایل‌های میزبان‌ها (Hosts) برای جلوگیری از اتصال کامپیوترها به آدرس‌های وب مرتبط با جاسوس‌افزارها، استفاده کنند.
راه دیگر این است که کامپیوتر را به حالت پیش‌فرض کارخانه بازگردانید. این روش نیاز به مدیریت پیکربندی و بک‌آپ گرفتن از داده‌های مهم دارد.

نمونه‌های جاسوس‌افزار چیست؟

CoolWebSearch: گروهی از برنامه‌ها که از آسیب‌پذیری‌های اینترنت اکسپلورر، هدایت ترافیک به تبلیغات، نمایش آگهی‌های Pop-Up و جایگزینی فایل‌های Hosts کامپیوتر آلوده برای هدایت جست‌وجوهای DNS به سایت‌های مختلف استفاده می‌کنند.
FinFisher: یک مجموعه نرم‌افزار نظارتی پیشرفته که به سازمان‌های مجری قانون و سازمان‌های جاسوسی فروخته می‌شود. FinFisher را می‌توان با استفاده از اکسپلویت‌های پچ آهسته (slow) مخفیانه بر روی کامپیوترها نصب کرد.
Gator: معمولاً در نرم‌افزارهای اشتراک‌گذاری یافت می‌شود. این باج‌افزار فعالیت‌های اینترنتی قربانی را مانیتور می‌کند تا تبلیغات هدفمندتری به آنها نمایش دهد.
GO Keyboard: یک اپلیکیشن صفحه‌کلید مجازی اندروید است که اطلاعات خصوصی کاربر را بدون رضایت کاربر به ریموت‌سرورهای خود مخابره می‌کند؛ اطلاعاتی مثل ایمیل Google، زبان، IMSI، لوکیشن، نوع شبکه، نسخه اندروید و مدل دستگاه.

HuntBar: از طریق حملات دانلود ناخواسته‌ی ActiveX یا تبلیغات نمایش داده شده توسط سایر برنامه‌های جاسوسی، اضافه کردن نوار ابزار به اینترنت اکسپلورر، ردیابی الگوهای وب‌گردی و تغییر مسیر رفرنس‌های affiliate نصب می‌شود.
Internet Optimizer: صفحات خطای اینترنت اکسپلورر را به تبلیغات هدایت می‌کند.
Look2Me: این بدافزار به دو صورت روت‌کیت و جاسوس‌افزار، درون فرآیندهای حیاتی سیستم مخفی شده و در حالت ایمن (Safe Mood) اجرا می‌شود.
Onavo Protect: این ابزار توسط فیس‌بوک برای کسب درآمد از رفتارهای اینترنتی کاربر در محیطی متمرکز بر حفظ حریم خصوصی استفاده می‌شود. فیس‌بوک به خاطر اینکه مشخص نکرد این بدافزار را تحت مالکیت دارد و از آن استفاده می‌کند مورد انتقاد قرار گرفت.
Zango: اطلاعات مربوط به الگوهای رفتاری اینترنتی کاربر را برای شرکت‌های تبلیغ‌کننده مخابره می‌کند و درخواست‌های HTTP کاربران را با تبلیغات مورد نظر خودش جایگزین می‌کند تا سازنده آن سود به دست بیاورد.
Zlob: خود را از طریق ActiveX Codec در کامپیوتر دانلود می‌کند و تمام سابقه‌های جستجو و کلیک‌های کاربر را برای سرور کنترل می‌فرستد.
Zwangi: آدرس‌های URL تایپ شده در نوار آدرس مرورگر را به یک صفحه جستجو در www.zwangi.com هدایت می‌کند.