Slide thumbnail

سامانه پایش فضای مجازی

 

 


 

بیانات اخیر مقام معظم رهبری در جمع فرماندهان نیروی انتظامی نیز نشانگر اهمیت رصد فضای مجازی است:

«امروز فضای مجازی در زندگی مردم، دیگر مثل پنج سال پیش و ده سال پیش نیست؛ گسترش فضای مجازی یک گسترش بسیار وسیع و عظیمی است. خب، این فضای مجازی منافعی دارد، امکاناتی دارد، خطراتی هم دارد، خطرات بزرگی هم دارد. اگر چنانچه این فضا ناامن باشد برای مردم، ضررش را مردم میبَرند. شما خب-حالا پلیس فتا و مانند اینها هم که هست، کارهایی میکنید- در این زمینه میتوانید به معنای واقعی کلمه، به‌ طور جدّی وارد بشوید و کار کنید.»

برای اکتشاف سایت‌های مخرب، ابزارهای خودکاری مورد نیاز هستند، زیرا از سویی تعداد سایت‌های مخرب زیاد است و از سویی URL آنها به سرعت تغییر داده می‌شود. بنابراین، رصد آنها به طور دستی نمی‌تواند از کارایی لازم برخوردار باشد.

ما ابزاری را ارئه می‌دهیم که به طور اتوماتیک فضای مجازی را رصد کرده و صفحات مجرمانه را پیدا می‌کند. معمولا سایت‌های مجرمانه از طریق کانال‌های تلگرام و صفحات پرطرفدار ایسنتاگرام تبلیغ می‌شوند. بنابراین با رصد مداوم این کانال‌ها و استخراج لینک‌های آنها می‌توان بسیاری از این سایت‌ها را کشف نمود. به عبارتی، یکی از قابلیت‌های این ابزار، یافتن و رصد مداوم صفحات پرطرفدار است.

روش مورد استفاده دیگر، پیمایش لینک‌های موجود در صفحات مجرمانه است، زیرا صفحات مجرمانه یا کانال‌های ترویج‌کننده آنها معمولا حاوی لینک‌هایی به صفحات یا کانال‌های مشابه هستند و بدین شکل می‌توان صفحات مخرب بیشتری را یافت. صفحات مجرمانه معمولا از الگوها و عبارات مشابهی برای جذب مخاطب استفاده می‌کنند. این ابزار با بررسی این الگوها و جستجوی آنها در وب، می‌تواند صفحات مجرمانه جدیدی را کشف کند.



[1] Ponzi Scheme

1- انواع اقدامات مجرمانه در فضای مجازی

 

1-1- فیشینگ

مجرمان فیشینگ [2] با طراحی صفحات وب جعلی، اطلاعات کاربران را سرقت می‌کنند. این صفحات ممکن است صفحه ورود یک سایت معتبر یا یک درگاه بانکی را شبیه‌سازی کنند. بدین ترتیب، عامل فیشینگ می‌تواند اطلاعاتی مثل حساب بانکی قربانی را سرقت کند.



[2] Phishing

2-1- اجاره کارت بانکی

برخی مجرمان برای انجام تراکنش‌های خود، از حساب‌های بانکی افراد دیگر استفاده می‌کنند تا ردّی از خود به جای نگذارند. این مجرمان تحت عنوان «اجاره کارت بانکی» و با وعده پرداخت مبالغ کلان، کارت بانکی افراد دیگر را به دست می‌آورند. وقتی جرمی اتفاق بیافتد، احتمال دارد صاحب کارت به عنوان مجرم شناخته شود، شکل 1.



 

شکل 1- تبلیغ اجاره کارت بانکی

 

 

3-1- شرط‌بندی و قمار

وبسایت‌های بسیاری به عنوان پلتفرم شرط‌بندی مسابقات ورزشی و قمار ایجاد شده‌اند که علاوه بر غیرقانونی بودن، به علت غیررسمی بودن و نبود نظارت قانونی امکان کلاهبرداری را فراهم می‌کنند، شکل 2. میزان هزینه صرف شده برای تبلیغ این وبسایت‌ها نشان از کسب سود بالا توسط گردانندگان آن‌ها دارند.

 

4-1- ترفند پانزی

در ترفند پانزی، کلاهبردار با وعده سود ثابت و هنگفت، قربانیان خود را جذب می‌کند. کلاهبردار تا مدتی از محل سرمایه دیگر اعضا یا حتی خود عضو مورد نظر به وعده پرداخت سود عمل می‌کند و بدین ترتیب قربانی به سرمایه‌گذاری بیشتر وسوسه می‌شود. اما وقتی ادامه کار میسر نباشد، عامل کلاهبرداری اقدام به فرار می‌کند. از آنجا که این در سیستم الزامی به معرفی زیرمجموعه وجود ندارد و اعضا تا مدتی سود دریافت می‌کنند، امکان موفقیت آن از ترفندهای هرمی بیشتر است.

 

 

شکل 2- نمونه‌ای از سایت شرط بندی

 

2- قابلیت‌های ابزار

1-2- مرور دوره‌ای صفحات تاثیرگذار

هدف ما این است که به طور فعالانه [3] و پیشگیرانه صفحات مخرب را شناسایی کنیم. با شناسایی و مسدودسازی هر چه سریعتر این صفحات می‌توان تعداد قربانیان آنها را محدود کرد.

افراد تاثیرگذار (influencer) در اینستاگرام، افرادی با تعداد دنبال‌کنندگان بالا هستند که سفارش تبلیغات را دریافت کرده و در صفحات خود منتشر می‌کنند. این تبلیغات معمولا حاوی لینک‌هایی به صفحات وب مخرب هستند. به عنوان مثال معمولا حساب‌های اینستاگرام از قابلیت پخش زنده (live) برای تبلیغ استفاده می‌کنند، شکل 3 و شکل 4 دو نمونه از چنین تبلیغاتی را نشان می‌دهند. شکل 3 محتوای live یک حساب اینستاگرام را نشان می‌دهد که لینک یک سایت شرط‌بندی را منتشر کرده است. یک حساب اینستاگرام دیگر نیز حاوی لینکی به یک کانال تلگرامی است که در شکل 4 نشان داده شده است. این کانال دائما لینک سایت‌های شرط‌بندی را منتشر می‌کند. با بررسی مداوم این کانال‌ها/حساب‌ها مشاهده می‌شود که لینک‌های منتشر شده پس از مدتی تغییر می‌کنند، زیرا پس از کشف یا فیلتر شدن یک url، گردانندگان وبسایت مجبور به تغییر آدرس آن می‌شوند. برای مثال ابتدا از لینک xxxbet.com، پس از مدتی از xxxbet1.com و ... استفاده می‌شود. ابزار ما با مرور مداوم یا به عبارتی «خزندگی دوره‌ای»[4] این صفحات و دنبال کردن تبلیغات آنها می‌تواند لینک‌های مخرب را در مدت زمان کوتاهی از زمان ایجاد پیدا کند.



[3] Proactive

[4] Periodic crawling

 

 

شکل 3 - تبلیغ یک سایت شرط بندی در محتوای live یک حساب اینستاگرام

 

 

شکل 4 - تبلیغ یک سایت شرط بندی در کانال تلگرام

 

با بررسی متن‌های تبلیغاتی صفحات مجرمانه می‌توان الگوهای مشابهی در بین آنها یافت، زیرا اکثر این تبلیغات از ترفندهای مشابهی برای اغوای مخاطبین خود استفاده می‌کنند. با واکاوی محتوای صفحات اجتماعی یا کانال‌های کشف شده می‌توان به الگوهایی دست یافت و صفحات مشابهی را کشف کرد. مثلا با جستجوی عبارت «موبوگرام» در کانال‌های تلگرام، به کانالی با آدرس خواهیم رسید که در سمت راست شکل 5 نشان داده شده است. با بررسی محتوای این کانال، عبارتی مثل «نسخه پیشرفته بدون نیاز به فیلترشکن» به کرّات مشاهده می‌شود. حال با جستجوی این عبارت، به کانالی دست پیدا می‌کنیم که اپلیکیشنی موسوم به «آپوگرام» را ارائه می‌دهد، شکل 5، سمت چپ. بدین ترتیب، می‌توانیم به مرور حوزه جستجو را گسترش دهیم. در صورتی که اگر تنها به جستجوی «موبوگرام» اکتفا می‌کردیم، موفق به یافتن کانال اخیر نمی‌شدیم.

ابزار ارائه شده، با استفاده از تکنیک‌های کاوش الگوی پرتکرار [5]، عبارات مهم را از صفحات خروجی جستجو استخراج کرده و مجددا آنها را جستجو می‌کند. پس از جستجو، یک ماژول تحلیلگر، محتوای صفحه نتیجه جستجو را بررسی می‌کند و تشخیص می‌دهد که آیا صفحه مخرب است یا خیر. شکل 6 بلوک دیاگرام این سیستم را نشان می‌دهد.



[5] Frequent pattern mining

 

 

شکل 5 -سمت راست: تبلیغ برنامه مخرب موبوگرام. سمت چپ: با جستجوی الگوهای مشابه، اپ مخرب جدیدی پیدا می‌شود.

 

 

 

 

شکل 6 - بلوک دیاگرام سیستم خزنده افزایشی

 

2-2- پیمایش ارتباطات

پس از کشف صفحات اجتماعی تبلیغاتی/مجرمانه، پیمایش ارتباطات (مثل followerها) بین این صفحات نیز گاهی می‌تواند به یافتن صفحات مخرب جدیدی منجر شود. ابزار ما حاوی یک ماژول مبتنی بر خزندگی افزایشی[6] است که URLهای موجود در صفحات را به طور بازگشتی پیمایش می‌کند، شکل 7.



[6] Incremental crawling

 

 

شکل 7 - بلوک دیاگرام سیستم پیمایش لینک

 

 

 

شکل 8 شمای کلی سیستم را نشان می‌دهد که در واقع ترکیب شکل 6 و شکل 7 است.


 

شکل 8 - سیستم خزنده افزایشی و پیمایشگر لینک

تقویم شمسی