نوشته‌ها

سوء استفاده از سایت های وردپرس در کمپین فیشینگ Aggah

 

کمپین مهاجمین مرتبط با پاکستان از سایت های وردپرس در معرض خطر برای ارائه RAT Warzone به شرکت های تولید کننده در تایوان و کره جنوبی استفاده می کند.

 

محققان دریافتند که هکرها از وب سایت های وردپرس به خطر افتاده برای هدف قرار دادن تولیدکنندگان در سراسر آسیا با یک کمپین جدید فیشینگ استفاده می کنند که Warzone RAT را ارائه می دهد.

بر اساس تحقیقات جدید شرکت امنیت شناسایی و واکنش تهدید Anomali ، گروه تهدید Aggah ، که تصورمی شود وابسته به پاکستان است و برای اولین بار در مارس 2019 شناسایی شد ، RAT را در کمپینی با هدف انتشار بدافزار به شرکت های تولید کننده در تایوان و کره جنوبی ارائه می دهد.

به گفته محققان ، این کمپین ، که در اوایل ماه ژوئیه آغاز شد ، از آدرس های ایمیل جعلی استفاده می کند که ظاهراً از مشتریان قانونی تولیدکنندگان نشأت می گیرد و نشان می دهد که کار Aggah بوده است.

تارا گولد و روری گولد از Anomali Threat Research در گزارشی در مورد این کمپین که منتشر شد ، نوشتند: “آدرس های ایمیل جعلی کسب و کار (B2B) در برابر صنعت مورد نظر با Aggah مطابقت دارد.”

محققان واحد 42 شبکه Palo Alto برای اولین بار Aggah را در مارس 2019 در کمپینی با هدف هدف قرار دادن اشخاص در امارات متحده عربی کشف کردند که بعداً به عنوان یک کمپین فیشینگ جهانی برای ارائه RevengeRAT شناخته شد.

تصور می شد که این گروه که معمولاً سرقت اطلاعات از اهداف را انجام می دهد ، با گروه گرگان ارتباط داشته باشد: یک گروه پاکستانی که به هدف قرار دادن دولت های غربی معروف است. به گفته Anomali ، این ارتباط ثابت نشده است ، اما محققان متفق القول هستند که گروه اردو زبان از پاکستان سرچشمه گرفته است.

از جمله اهداف آخرین کمپین Aggah ، Fon-star International Technology ، یک شرکت تولیدی مستقر در تایوان بود. FomoTech ، یک شرکت مهندسی تایوانی ؛ و هیوندای الکتریک ، یک شرکت برق کره ای.

هکرها اغلب تولید کنندگان جهانی و سایر تأمین کنندگان را نه تنها برای هدف قرار دادن آنها ، بلکه به عنوان راهی برای نفوذ به برخی از مشتریان برجسته تر خود هدف قرار می دهند. نمونه ای از این امر در ماه آوریل زمانی مشاهده شد که باند REvil که اکنون منقرض شده ، با موفقیت باج افزاری را علیه Quanta ، تأمین کننده تایوانی رایانه Apple ، درست پیش از رویداد بزرگ معرفی محصول اپل ، مستقر کرد.

REvil پرونده هایی را از Quanta سرقت کرد که شامل نقشه هایی برای برخی از محصولات جدید اپل بود.

چرا باج افزار تهدیدی برای زیرساخت های حیاتی است

 

افزایش اخیر حملات باج افزاری در مقیاس بزرگ آسیب پذیری های زیرساخت های حیاتی کشور و سهولت نقض سیستم های آنها را برجسته کرده است.

 

تقریباً بیش از یک دهه پیش ، آنچه زیرساخت های حیاتی در نظر گرفته می شد تا حد زیادی محدود به کنترل ترافیک هوایی و تولید و انتقال انرژی بود و مقررات امنیتی به شدت بر این مناطق متمرکز شده است. با این حال ، امروزه به طور فزاینده ای اذعان شده است که زیرساخت ها موارد بیشتری را شامل می شود ، از سیستم های طوفان تا پردازنده های زباله ، ارائه دهندگان مخابرات ، بیمارستان ها ، خدمات مالی ، خطوط لوله و موارد دیگر.

حملات سایبری و باج افزارها بیشتر از تهدید خارجی غیر دیجیتالی برای زیرساخت های حیاتی خطر ایجاد

می کنند و اندازه و مقیاس زیرساخت ارتباط چندانی با دامنه خطر ندارد. باج افزار همان اندازه که یک شبکه تصفیه آب در مرکز شهر اسمال ویل ایالات متحده را تهدید می کند ، همانطور هم برای شبکه انرژی در مقیاس بزرگ یا خط لوله بنزین تهدید محسوب می‌شود.

باج افزار متکی به کلاهبرداری های فیشینگ یا حفره های امنیتی است که می تواند از آن استفاده کند ، از جمله آسیب پذیری های دیجیتالی و انسانی.

با افزایش پیچیدگی تهدیدات سایبری ، می توان انتظار داشت تهدید ارائه شده توسط باج افزارها تکامل یابد و اقدامات انجام شده برای حفاظت از زیرساخت های حیاتی کشور نیز باید تکامل یابد.

برای جلوگیری از خطرات احتمالی باید استانداردهای حفاظت از زیرساخت های حیاتی (CIP) در نظر گرفته شود؛  مانند جداسازی سیستم های مهم از اینترنت و جایگزینی احراز هویت تک عاملی مبتنی بر رمز عبور با اعتبار چند عاملی از جمله گواهینامه های دیجیتال بر اساس زیرساخت کلید عمومی (PKI) ، می تواند انواع دیگری از زیرساخت ها را ایجاد کند.

بسیاری از این صنایع زیرساختی قدیمی متکی به رایانه های بسیار تخصصی هستند که بر روی سیستم عامل های بسیار قدیمی کار می کنند .سیستم هایی که همیشه آنطور که باید حفاظت نشده و نگهداری نمی شوند.

فرض کنید به شما حمله خواهد شد پس باید برنامه ای برای کاهش قرار گرفتن در معرض و سپس اصلاح آن و افزایش حفاظت از سیستم های حیاتی داشته باشید. از خود بپرسید ، اگر مورد حمله قرار بگیرید چگونه آن سیستم ها را بازیابی می کنید؟ از کجا می توانید حفاظت های امنیتی اضافی را از امروز شروع کنید؟

اقدامات احتیاطی موثر عبارتند از:

تقسیم بندی شبکه ، قرار دادن داده ها و سیستم های مهم در پشت دیوار آتش و محدود کردن دسترسی فقط به کارمندانی که مشاغل آنها نیاز به دسترسی دارد.

رمزگذاری فایل ها ، ایمیل ها و پایگاه های داده ، به عنوان مثال با استفاده از گواهینامه های PKI

با انجام اقداماتی در جهت شناسایی و رفع آسیب پذیری در سیستم های خود ، از جمله به روز رسانی نرم افزار ، و با اطمینان از اینکه مهمترین عملکردهای آنها در برابر حملات سایبری و رمزگذاری داده ها به اندازه کافی مورد حفاظت است ، سازمان های زیرساختی می توانند به سرعت در جهت ایمن سازی سیستم های خود مانند سیستم های تحت پوشش CIP کار کنند.

ترفندهای جدید مبهم سازی برای به چالش کشیدن امنیت

یک کمپین فیشینگ جدید با بدافزار BazarBackdoor کشف شده است. این کمپین از روش فشرده سازی برای مخفی کردن بدافزار به عنوان یک پرونده تصویری استفاده می کند. این روش می تواند Secure Email Gateways (SEGs) را فریب دهد تا پیوست های مخرب را به عنوان پرونده های تمیز شناسایی کند.

به گفته محققان Cofense ، روش فشرده سازی می تواند برخی SEG ها را دور بزند زیرا محدودیت هایی در بررسی کامل یا اسکن یک پرونده فشرده دارد.

کمپین جدید BazarBackdoor از ماه گذشته فعال است و چندین گیرنده شرکت را با استفاده از موضوع روز محیط زیست ، که در 5 ژوئن جشن گرفته می شود ، فریب داد.

این ایمیل حاوی بایگانی های ZIP و RAR در پیوست است. این یک فایل JavaScript است که بدافزار BazarBackdoor را برای دسترسی از راه دور به ماشین های هدف ارائه می دهد.

هم چنین از پرونده جاوا اسکریپت بسیار مبهم برای بارگیری مخرب با پسوند تصویر استفاده می شود.

این عمل ، همانطور که کارشناسان می گویند ، در بین هکرها روندی رو به رشد است زیرا احتمال پرونده های مخرب را برای جلوگیری از شناسایی افزایش می دهد.

استفاده از چندین نوع بایگانی به طور عمدی توسط مهاجمان استفاده می شود زیرا این امکان را دارد که حد فشرده سازی SEG را از بین ببرد یا به دلیل ناشناخته بودن نوع بایگانی امکان پذیر نیست.

جاوا اسکریپت مبهم پس از اجرا ، با استفاده از اتصال HTTP GET ، محموله BazarBackdoor را با پسوند .png بارگیری می کند.

این بدافزار پس از استقرار در رایانه قربانی ، می تواند Cobalt Strike را که یک ابزار واقعی است که برای تمرینات پس از بهره برداری ایجاد شده و به صورت جانبی گسترش می یابد ، بارگیری و اجرا کند.

با شروع سال ، BazarBackdoor تغییر شکل داد. در حال حاضر ، عوامل تهدید در پشت آن پیچیده تر شده و از روش های جدیدی برای انتشار بدافزار استفاده می کنند.

این تهدیدی نگران کننده است و نیاز به نظارت مستمر از سوی نهادهای امنیتی دارد.

دروازه های ایمیل و نرم افزارهای امنیتی در تلاش برای انطباق با مبارزات فیشینگ همیشه در حال پیشرفت هستند و به همین دلیل ، عوامل تهدید هنگام فرار از شناسایی به فرمت های فایل غیرمعمول متوسل می شوند .

اخیراً کلاهبردارهای فیشینگ به سمت ایجاد فایلهای پیوست غیرمعمول مانند فایل های ISO یا TAR رفته اند.

جدیداً محققان Trustwave در گزارشی روشی را توضیح داده اند که عوامل تهدید شروع به استفاده از پیوست های WIM (قالب تصویربرداری ویندوز) برای توزیع تروجان دسترسی از راه دور Agent Tesla می کنند.

تمام پرونده های WIM جمع آوری شده حاوی بدافزار Agent Tesla بودند. این تهدید یک Trojan Access Remote (RAT) است که با دات نت نوشته شده است و می تواند کنترل کاملی بر سیستم آسیب دیده داشته باشد و می تواند داده ها را از طریق HTTP ، SMTP ، FTP و تلگرام از بین ببرد.

کمپین های فیشینگ با ایمیل هایی که وانمود می کنند اطلاعات را از DHL یا Alpha Trans ارسال می کنند و شامل پیوست های WIM هستند که برای دور زدن نرم افزارهای امنیتی طراحی شده اند ، راه اندازی می شوند.

قالب تصویربرداری ویندوز (WIM) یک قالب تصویر دیسک مبتنی بر فایل را نشان می دهد که شامل مجموعه ای از پرونده ها و فراداده سیستم فایل مربوطه است.

پرونده های WIM چیست؟

پرونده های WIM می توانند حاوی چندین تصویر دیسک باشند ، و به دلیل استفاده از حافظه ذخیره سازی یک نمونه ، هرچه اشتراک هر تصویر دیسک متوالی با تصاویر قبلی اضافه شده به پرونده WIM بیشتر باشد ، داده های جدید کمتری اضافه می شود.

یک واقعیت جالب در مورد تصاویر WIM این واقعیت است که می توان آنها را بوت (WIMBoot) کرد ، زیرا لودر بوت ویندوز از راه اندازی ویندوز از داخل یک فایل WIM پشتیبانی می کند.

شایان ذکر است که اگرچه پرونده های WIM کمتر قابل شناسایی است ، اما کمپین های فیشینگ که از آنها استفاده می کنند با مشکل بزرگتری روبرو هستند زیرا ویندوز هیچ مکانیسم داخلی برای باز کردن یک پرونده WIM ندارد ، و بنابراین هنگامی که کاربران سعی می کنند آنها را باز کنند فقط با پیامی که از آنها می خواهد برنامه ای برای باز کردن پرونده انتخاب کنند ، استقبال می شود.

این به این معنی است که برای باز شدن پرونده های WIM ، کاربر باید از برنامه خود خارج شود و فایل را با استفاده از برنامه ای مانند 7-Zip استخراج کند و سپس بر روی پرونده موجود در آن دوبار کلیک کند.

 می توانیم فرض کنیم که به زودی این پیوست ها توسط دروازه های ایمیل مسدود می شوند ، اما تا آن زمان کاربران باید محتاط باشند.

سامانه آنتی فیشینگ

راه کار جامع آنتی فیشینگ شرکت رجاء

در سال­های اخير، تحولات عظيمي در دنیای فناوري­هاي الكترونيكي پدید آمده است. افزايش نفوذ اينترنت در زندگي افراد و جوامع استفاده روزافزون از رايانه و اينترنت را به جزء جدانشدنی زندگی امروز تبدیل کرده است که یکی از جنبه­های تأثیرگذار آن توسعه استفاده از ابزارها و خدمات بانکداری و پرداخت الکترونیکی است که شرايط و بستر مساعدي براي ظهور جرائم سايبري به وجود آورده است.  ماهيت ویژه جرائم سايبري از جمله داشتن ابعاد جهاني، عدم توافق جهاني پيرامون تعريف واحد، بالا بودن سرعت ارتكاب اين نوع از جرائم، متنوع بودن روش­های ارتکاب جرم، استفاده از روش­های بدیع تقلب،  وجود دشواري در اندازه­گيري جرائم سايبري و بالا بودن هزينه هاي كشف اين جرائم، مراجع قضايي و نظارتی را با چالش­هاي جديدي مواجه كرده است.

ریشه اصلی این جرائم، دسترسی غیرمجاز متخلفان و مجرمین به اطلاعات حساس بانکی و پرداخت کاربران و همچنین احراز هویت‌های ضعیف و بعضاً ناکافی ارائه‌دهندگان خدمات و همچنین عدم وجود قوانین سخت­گیرانه در مقابله با مجرمان اینترنتی است. شیوه ارتکاب این جرائم با فاصله و بدون ارتباط جسمی مستقیم با بزه است. فهرست این جرائم به نوع خاصی از رفتارهای مجرمانه محدود نبوده و تقریباً می‌توان گفت همه حوزه‌های جنایی را دربر می‌گیرد. بزهکاری سایبری افزون بر جدید بودن، از قابلیت بالای تحول‌پذیری و تحول بخشی برخوردار است. این تحول از یک‌سو ناشی از پیدایش جرائم جدید و در ارتباط مستقیم با شکل‌گیری شبکه بوده و از سوی دیگر ناشی از تحول در شیوه ارتکاب بسیاری از جرائم سنتی است، بنابراین تضعیف علل این جرائم از طریق از بین بردن ریشه‌های آن‌ها فعالیتی مستمر و بلندمدت است که باید در تمامی لایه‌های کارکردی ازجمله قانون‌گذاری، ترجمان قانون و مقررات به اقدامات و شیوه‌های عملی، پیاده‌سازی آن‌ها در مبادی ارائه‌دهنده خدمات و همچنین آموزش و آگاهی‌رسانی به استفاده‌کنندگان از خدمات صورت پذیرد.

یکی از مهمترین مصادیق جرایم سایبری در نظام بانکی، فیشینگ[1] نام دارد. حملات موسوم به فیشینگ به آن دسته از حملات اینترنتی گفته می‌شود که معمولا طراحان آن‌ها به روش‌های مختلف تلاش می‌کنند به اطلاعات بانکی افراد از طریق روش‌های متنوع مهندسی اجتماعی مانند ایمیل، تماس تلفنی، صفحات جعلی پرداخت، پیامک، انواع مدل‌های ربات‌های تلگرام و انواع روش‌های جدیدی که انتظار آن نمی‌رود دست یابد. در این‌گونه حملات، فیشر با ارسال یک ایمیل، خود را به جای فرد یا شرکت معتبر و حتی بانک‌های معتبر جا می‌زند و با تکنیک‌های گول‌زننده سعی می‌کند تا اطلاعات حساس را از قربانی بگیرد. مهمترین عامل موفقیت حملات فیشینگ سهل‌انگاری و نداشتن آگاهی کاربران سیستم های IT است. گرچه استفاده از حملات فیشینگ تهدید بالقوه برای انواع صنایع مختلف است، آمار نشان می‌دهد که بیشترین قربانی این حملات در صنعت بانکداری الکترونیکی می‌باشد. به طور کلی تعریف فیشینگ در نظام پرداخت الکترونیکی عبارتست از «فریب افراد از طریق ابزارهای فریبنده مبتنی بر رایانه به‌منظور افشای اطلاعات».

برای مقابله با این فریب‌کاری که به عنوان یک جرم مهندسی اجتماعی تعبیر می‌شود تدابیر ضد فیشینگ (Anti Phishing) متعددی اندیشیده شده‌ است. با توجه به تنوع زیاد این تهدیدات، یک راه‌کار قطعی برای تشخیص فیشینگ با چالش‌های جدی مواجه است. از مهمترین چالش‌های پیش رو برای تشخیص حملات فیشینگ می‌توان به موارد زیر اشاره نمود: استفاده روز افزون از فناوری‌های موجود برای فیشرها، افزایش تنوع در خدمات دیجیتال در نظام بانکی، افزایش ضریب نفوذ مشتریان بانکی در استفاده از این خدمات بدون آگاهی و دانش کافی، محدودیت‌های قانونی برای تعریف جرایم سایبری نوین در نظام قانونی کشور، عدم تعریف مناسب مسولیت‌های اجتماعی برای مراقبت از مشتریان بانکی در مقابل حملات فیشینگ و رشد ناکافی فرهنگی و اجتماعی برای درک آسیب‌های موجود در جرایم سایبری در نظام بانکی.

نظر به وجود چالش‌‌های جدی برای ارائه یک سامانه جامع و خودکار برای تشخیص و مقابله با فیشینگ، استفاده از چندین سامانه موازی برای تشخیص به همراه ارائه خدمات لازم برای به روز رسانی می‌تواند راه‌کار مناسب باشد. در این مستند، پیشنهادی برای راه‌اندازی سامانه‌ای متشکل از چندین ماژول برای تشخیص فیشینگ و رسیدگی به این رخداد در بانک ملت پیشنهاد می‌گردد. لازم به ذکر است که علاوه برای استقرار ماژول‌های پیشنهادی، نیاز به خدمات به روزرسانی و نگهداری این ماژول‌ها نیاز کاملا ضروری است.

1                  راه‌کار جامع آنتی فیشینگ بانکی

راه‌کار پیشنهادی در این مستند تلاش می‌کند که با کمک تکنیک‌های مختلف اقدام به تشخیص سایت‌های فیشینگ نماید. هر کدام از تکنیک‌های موجود در قالب یک ماژول در این راه‌کار ارائه می‌گردد. به طور کلی راه‌کارهای تشخیص صفحات فیشینگ به عنوان راه‌کارهای امنیتی خارج از دامنه سازمانی بانک تعریف می‌شوند. به عبارت دیگر با کنترل‌های امنیتی مستقر در داخل سازمان قابل تشخیص نمی‌باشند. لذا پویش فضای کسب کار سازمانی در بیرون سازمان برای این منظور هدف‌گذاری می‌شود.

برای تشخیص صفحات فیشینگ بانکی باید از پویش خودکار و دائم سه منبع اطلاعاتی بهره‌مند شد. این منابع عبارتند از: شبکه‌های اجتماعی، صفحات وب و برنامک‌های موبایلی. نظر به پیچیدگی پویش کامل این منابع، یک راه‌کار موثر باید پایش موثر و کارا را در دستور کار قرار دهد. لذا با توجه به تجربه کاری ارزشمند نگارندگان این پیشنهاد در حوزه رصد رخدادهای سایبری در نظام بانکی، ماژول‌های زیر برای راه‌کار جامع آنتی فیشینگ بانکی در نظر گرفته می‌شود.

  • ماژول تشخیص زودهنگام فیشینگ
  • ماژول رصد خودکار سایت‌های قمار
  • ماژول رصد خودکار Google Ads
  • روبات خزنده صفحات وب برای تشخیص فیشینگ
  • رصد شبکه‌های اجتماعی برای تشخیص رخدادهای سایبری
  • سامانه رسیدگی به رخدادهای سایبری
  • تحلیل­گر برنامک­های موبایلی

در ادامه این بخش، هر کدام از ماژول‌های فوق به طور مختصر شرح داده می‌شود.

1-1              ماژول تشخیص زودهنگام فیشینگ

این ماژول یک موتور تحلیل رویدادنامه‌های منتشر شده از مکانیسم Certificate Transparency توسط مراکز گواهی دیجیتالی است که تلاش می‌کند دامنه‌های فیشینگ را زودتر از انتشار دامنه تشخیص دهد. برای این منظور تمامی رکوردهای CT منتشر شده توسط CAها را تحلیل نموده و با کمک الگوریتم‌های هوش مصنوعی در حوزه پردازش زبان طبیعی سعی در تشخیص مشکوک بودن دامنه جدید به فیشینگ دامنه‌های بانکی کشور می‌نماید.

1-2             ماژول رصد خودکار سایت‌های قمار

یکی از منابع مهم برای تشخیص رخدادهای سایبری در حوزه بانکداری و پرداخت الکترونیک، رصد مداوم سایت‌های قمار است. برای این منظور ماژول جهت خودکارسازی فرآیند تحلیل عملیات تارنماهای قمار و شرط‌بندی با هدف کشف و گزارش‌دهی رخدادهای سایبری بانکی ارائه می‌گردد. این ماژول با بررسی روش‌های به‌کار گرفته شده برای شارژ تارنماهای قمار و شرط‌بندی، رخدادهای سایبری مستخرج از این سایت‌ها را  رصد می‌کند. در این سامانه حدود 1000 تارنمای قمار و شرط‌بندی به طور مستمر، دوره‌ای و خودکار بررسی شده و اطلاعات لازم برای گزارش‌دهی رخدادهای فوق استخراج و آماده گزارش می‌گردد. این اطلاعات شامل جزییات کارت‌های بانکی و همچنین درگاه‌های پرداخت مورد استفاده در این تارنماها می‌باشد. بدیهی است امکان توسعه محصول برای رصد خودکار تارنماهای دیگر نیز فراهم است.

1-3            ماژول رصد خودکار Google Ads

یکی از روش‌های معمول که فیشرها برای قربانی کردن کاربران خود استفاده می‌کنند، تبلیغات فراوان در Google Ads است. بسیاری از کاربران برای یافتن آدرس سایت‌های بانکی خود، از جستجو در موتور جستجوی گوگل استفاده می‌کنند که در صورت هدایت نامناسب گوگل به سمت صفحات فیشینگ، امکان جذب قربانی توسط فیشر بالا خواهد رفت.

جهت استفاده از مشکل فوق برای تشخیص سریعتر صفحات فیشینگ، پویش صفحات اولیه گوگل با جستجو در کلمات مرسوم برای یافتن صفحات بانکی می‌تواند نتایج موثری داشته باشد. برای این منظور یک خزنده وب طراحی و پیاده‌سازی خواهد شد که برای تعدای از کلمات کلیدی در گوگل جستجو نموده و پیمایش لینک‌های حاصل از جستجو را تا عمق خاصی انجام می‌دهد. این سامانه تمامی صفحات حاصله از جستجو را از نظر شباهت (Similarity) با صفحات معتبر بانکی در کشور مقایسه می‌نماید. در صورتی که یک صفحه میزان شباهت قابل قبولی با یکی از صفحات بانکی کشور داشته باشد، به عنوان مشکوک به فیشینگ انتخاب شده و برای ارزیابی نهایی به اپراتور خبره ارسال می‌گردد. برای تشخیص شباهت از تکنیک‌های هوش مصنوعی در حوزه پردازش زبان طبیعی استفاده می‌گردد. همچنین این سامانه مجهز به لیست تمامی سایت‌های معتبر بانکی در کشور خواهد بود.

1-4            روبات خزنده صفحات وب برای تشخیص فیشینگ

یکی از راه‌کارهای مفید برای تشخیص فیشینگ، پویش فضای وب برای تشخیص صفحاتی است که محتوایی مشابه صفحات معتبر بانکی دارند. این سامانه مجهز به یک روبات خزنده وب است که تمامی صفحات پایش شده را از نظر شباهت (Similarity) با صفحات معتبر بانکی در کشور ارزیابی می‌نماید. در صورتی که یک صفحه میزان شباهت قابل قبولی با یکی از صفحات بانکی کشور داشته باشد، به عنوان مشکوک به فیشینگ انتخاب شده و برای ارزیابی نهایی به اپراتور خبره ارسال می‌گردد. برای تشخیص شباهت از تکنیک‌های هوش مصنوعی در حوزه پردازش زبان طبیعی استفاده می‌گردد. همچنین این سامانه مجهز به لیست تمامی سایت‌های معتبر بانکی در کشور خواهد بود.

1-5            رصد شبکه‌های اجتماعی

در این سامانه دو روبات نرم‌افزاری برای رصد دو شبکه اجتماعی تلگرام و اینستاگرام با هدف استخرام رخدادهای سایبری در فضای پرداخت طراحی و پیاده‌سازی شده است. در حال حاضر این روبات‌ها مجهز به یک کتابخانه ساده پردازش زبان طبیعی برای پالایش رخدادها می‌باشد. این مهم به کاربر امکان پیکربندی روبات‌ها با هدف تولید خروجی هدفمند را می‌دهد. استخراج انواع محتوا در یک رخداد از جمله دسته‌بندی نوع فایل‌ها، تحلیل امنیتی اولیه فایل‌ها و همچنین پردازش متون در یک رخداد از دیگر قابلیت‌های این دو روبات می‌باشد.

1-6             سامانه رسیدگی به رخدادهای سایبری

این سامانه با هدف خودکارسازی فرآیند گزارش و رسیدگی به رخدادهای سایبری در فضای پرداخت اینترنتی طراحی و توسعه داده شده است. از دیگر اهدافی که این سامانه می‌توان به تسهیل در فرایند ارزیابی و صحت‌سنجی گزارش‌های واصله از تامین‌کنند‌گان و ایجاد بستری برای تحلیل و گزارش‌گیری مدیریتی و کلان به مراجع قضایی نام برد. از قابلیت‌های اصلی این سامانه، انجام فعالیت‌های مربوط به رسیدگی به رخدادهای سایبری با توجه به کسب و کار تعریف شده در نظام بانکی کشور است.

1-7            تحلیل‌گر برنامک‌های موبایلی

این سامانه یک پلتفرم برای تحلیل امنیتی برنامک‌های اندرویدی است. در حال حاضر سه موتور تحلیل ایستا در این پلتفرم پیاده‌سازی شده است. همچنین این پلتفرم امکان ارائه API برای استفاده راه دور از موتورهای تحلیل برنامک را ارائه می‌کند. با توجه به این‌که برخی از رخدادهای سایبری از طریق ارسال برنامک‌های آلوده در شبکه‌های اجتماعی منتشر می‌گردد، امکان تحلیل امنیتی این برنامک‌ها یکی از ضروریات در یک پلتفرم رصد رخدادهای سایبری است. علاوه‌بر این امکان توسعه موتورهای تحلیل بومی‌شده از دیگر قابلیت‌های پلتفرم کاوش است. در حال حاضر در این پلتفرم بیش از 20000 برنامک موبایلی تحلیل شده است.


[1] Phishing