معرفی حمله ربودن کلیپ بورد (Clipboard Hijacking)

حمله ربودن کلیپ بورد یکی از حملات نسبتاً قدیمی است که برای تغییر اطلاعات به آنچه هکر در نظر دارد به کار می‌رود. این حمله معمولاً برای دزدی دارایی یا اطلاعات استفاده می‌شود. با گسترش بازار کریپتوکارنسی شاهد به‌کارگیری این حمله برای ربودن ارزهای دیجیتال نیز هستیم. در ادامه بیشتر با ماهیت این حمله و نحوه انجام آن در بازار کریپتو آشنا می‌شویم.

کلیپ بورد چیست؟

کلیپ بورد یک بافر در سیستم‌عامل است که برای ذخیره موقف داده‌ها برای انتقال آن‌ها از جایی به جای دیگر (copy و paste کردن) به کار می‌رود. مثلاً داده‌هایی که از یک داکیومنت کپی می‌شوند وارد کلیپ بورد می‌گردند تا سپس در داکیومنت دیگری جایگذاری شوند.

حمله ربودن کلیپ بورد (Clipboard Hijacking) چیست؟

حمله ربودن کلیپ بورد زمانی رخ می‌دهد که هکری کنترل کلیپ بورد کامپیوتر را به دست گرفته و محتوای آن را با محتوای مخرب خودش جایگزین می‌کند که معمولاً یک لینک به یک وب‌سایت بدافزار است. هکرها برای حمله ربودن کلیپ برد تبلیغات بنری و حمله به نرم‌افزارهای امنیتی از تبلیغات بنری فلش سایت‌ها استفاده می‌کنند.

لینکی که هکرها در کلیپ بورد می‌گذارند معمولاً قابل حذف شدن نیست مگر اینکه کامپیوتر ری‌استارت شود. محتوای مخرب درون کلیپ بورد ظاهراً یک لینک معمولی به یک وب‌سایت است که کاربر به آن هدایت می‌شود و در آن تبلیغی مثل نرم‌افزار آنتی‌ویروس وجود دارد که درواقع یک برنامه جاسوسی یا spyware است. این روش malvertizement (تبلیغ بدافزار) نام دارد که از دو کلمه malicious و advertisement ساخته شده است.

قسمت موذیانه این حمله در ورود و الصاق ناخواسته لیک همراه متن‌های کلیپ بورد است. به‌این‌ترتیب کاربران با Paste کردن (چسباندن) آن به هر متنی مثل ایمیل، وبلاگ و کامنت‌ها، داکیومنت‌ها و مواردی از این قبیل، لینک مخرب را ناخواسته پخش می‌کنند.

اما در دنیای کریپتو هکرها می‌دانند به خاطر سپردن آدرس‌های کیف پول‌های ارز دیجیتال که معمولاً عبارتی طولانی هستند کاری دست و پاگیر است. مثلاً آدرس بیت‌کوین بین 26 تا 35 کاراکتر است. اگر فقط یک کاراکتر اشتباه شود آن مقدار رمزارز از دست می‌رود. بنابراین کپی و چسباندن آدرس راه جذاب‌تری است.

هکرها برای انتقال ارزهای دیجیتال به کیف پول خود روی دکمه‌های Control + C  که برای کپی کردن به کار می‌رود حساب می‌کنند. سپس یک بخش نسبتاً از کد مخرب جایگزین آدرس کیف پولی می‌شود که در کلیپ بورد کامپیوتری با سیستم‌عامل ویندوز ذخیره شده است. بنابراین وقتی کاربر کلیدهایControl + P  را برای Paste کردن بزند ناخواسته آدرس هکرها را وارد می‌کند.

هدف حمله Clipboard Hijacking   

هدف حمله ربودن کلیپ بورد در فضای کریپتو تغییر آدرس کیف پول‌ها به آدرس مطلوب، برای انتقال کریپتو است. اما در حالت عادی از این حمله برای ربودن اطلاعات نیز استفاده می‌شود.

هکرها می‌توانند از این روش برای ربودن هر چیزی مثل اطلاعات سیستم یا ارز فیات استفاده کنند. این روش برای جمع‌آوری جزییات حساب‌های بانکی و شماره کارت اعتباری افراد نیز به کار می‌رود.

زمانی که شخص تصمیم دارد از کیف پول کریپتوی خودش ارز دیجیتالی به کیف پول دیگری بفرستد باید آدرس آن کیف پول را وارد کند. حمله ربودن کلیپ بورد در اینجا رخ می‌دهد که اکثر کاربران این آدرس را تایپ نمی‌کنند بلکه از جای دیگر در کلیپ بورد خود کپی کرده و سپس در محل مربوطه برای ارسال الصاق می‌نمایند. در این لحظه، بدافزاری که وارد سیستم کاربر شده آدرس گیرنده را به آدرس موردنظر خودش تغییر می‌دهد تا کریپتوها به کیف پول هکر وارد شود.

نحوه پیاده‌سازی حمله Clipboard Hijacking چگونه است؟

ربودن کلیپ بورد یک کلاه‌برداری غیرفعال یا Passive است. هکرها کاربران را فریب می‌دهند تا نرم‌افزاری را نصب نمایند. به‌این‌ترتیب رمزارز آن‌ها دزدیده می‌شود.

طبق بررسی‌های کارشناسی بیش از 1 میلیارد بدافزار در اینترنت وجود دارد که بیش از نیمی از آن‌ها اسب‌های تروجان هستند یعنی کدهای مخربی که در برنامه‌های ظاهراً سالم جایگذاری شده‌اند.

سال 2018 دو نوجوان انگلیسی با این روش بیش از 16 بیت‌کوین سرقت کردند. کد ربودن کلیپ بورد داخل یک کیف پول رایگان در وب‌سایت ردیت جایگذاری شده بود. اما این حمله‌ها همیشه در این مقیاس نیست و می‌تواند بسیار بزرگ‌تر باشد.

سال 2019 اولین بدافزار ربودن کلیپ بورد اندروید در فروشگاه گوگل پلی پیدا شد. این بدافزار در یک برنامه جعلی متاماسک جایگذاری شده بود.

راه‌های جلوگیری از حمله Clipboard Hijacking

با اینکه سرقت کریپتو از طریق حمله ربودن کلیپ بورد نسبتاً جدید است اما این احتمال هست که کلیپ بورد کاربران قبلاً هم دچار حمله شده باشد. اغلب وب‌سایت‌های خبری به گزیده‌ مقاله‌ای که آن را به کلیپ بورد خود اضافه می‌کنید یک لینک می‌افزایند. بااین‌حال اکثر قربانیان تا زمانی که خیلی دیر نشده باشد متوجه این موضوع نمی‌شود.

مجرمان سایبری همیشه با روش‌های جدیدی می‌آیند تا بدافزارها را به سیستم کاربران وارد کنند. Reversing Labs حدود 760 نمونه از کد ربودن را در مخزن نرم‌افزار منبع باز Ruby Gems کشف کرد. مخزن Ruby Gems مخزنی است که توسعه‌دهندگان سراسر دنیا به رشد آن کمک می‌کنند و کدهای این کتابخانه به نرم‌افزارهای زیادی وارد شده است. بنابراین بهتر است همیشه نرم‌افزار آنتی‌ویروس خود را به‌روز نگه داریم.

مرورگر وب اپرا 84 ویژگی Paste-Protection را دارد که مراقب هرگونه تغییر لحظه آخری در اطلاعات است. می‌توانید این مرورگر را در ویندوز، لینوکس و مک نصب کنید. در این مرورگر زمانی که اطلاعاتی را کپی می‌کنید تا زمانی که paste نکرده‌اید از نظر تغییرات کنترل می‌شود. اگر اطلاعات تغییری کنند به کاربر هشدار می‌دهد.

اما بهترین شیوه مراقبت در مقابل حمله ربودن کلیپ بورد تایپ کردن کاراکترها و بررسی مجدد برای اطمینان از صحت آن‌هاست.

اگر ایمیلی از آدرسی ناشناسی یا مشکوک که غیرقابل‌اعتماد بود دریافت کردید آن را باز نکنید. همه نرم‌افزارها باید از وب‌سایت‌های رسمی با لینک دانلود مستقیم دانلود شوند. از لینک‌های کمکی و لینک‌های مشابه استفاده نکنید.

برنامه‌هایی که نصب شده‌اند یا سیستم‌عامل‌ها باید از طریق ابزارهایی که شرکت رسمی آن‌ها ارائه می‌کند به‌روزرسانی شوند. اگر فرآیند فعال‌سازی این نرم‌افزارها پولی بود نباید از فایل‌های کرک شده استفاده کرد چراکه اکثر آن‌ها غیرقانونی و بدافزار هستند.

جمع‌بندی

حمله ربودن کلیپ بورد حمله ایست که به‌وسیله نصب یک بدافزار برای تغییر اطلاعات کپی شده در کلیپ بورد انجام می‌شود. این حمله برای ربودن کریپتو یا ارزهای معمولی به کار می‌رود. بهترین روش مقابله با آن به‌روز نگه‌داشتن آنتی‌ویروس، عدم نصب نرم‌افزارهای مشکوک و باز نکردن لینک‌های نامطمئن است. بهتر است همیشه آدرس گیرنده را در تراکنش‌های کریپتو تایپ کنیم نه کپی.