گروه «ایرانسک» بهتازگی با انتشار گزارشی جزئیاتی از حملهی موسوم به فیشینگ به فعالان مدنی و روزنامهنگاران ایرانی را منتشر کرده است. در گزارش تازه ایرانسک که با عنوان «حملهٔ فیشینگ به فعالان مدنی ایرانی» و به دو زبان فارسی و انگلیسی منتشر شده، سه حمله با مجموع حدود ۵۰۰ هدف در چند ماه منتهی به انتخابات ریاستجمهوری ایران بررسی شده است. به گفته کارشناسان گروه ایرانسک «گستردگی حملات، استفاده از چندین دامنه و سرور، اصلاح روشهای هک و نیز تمرکز بر فعالین مدنی و سیاسی و روزنامهنگاران منتقد حکومت ایران، احتمال این که این حمله با پشتیبانی حکومت ایران بوده است را تقویت میکند.»
بنا بر گزارش ایرانسک از دی ماه سال گذشته (ابتدای سال ۲۰۱۷ میلادی)، در گزارشهای متعددی دریافت ایمیلهای مشکوک که بیشتر حاوی درخواست تغییر رمز شناسههای جیمیل بوده است، از سوی برخی روزنامهنگاران و فعالان حقوق بشر ایرانی اعلام شد.
افراد و یا نهادهای پشت این حملهها با ارسال ایمیلهای فیشینگ یا راهاندازی تارنماهای تقلبی سعی در به دست آوردن اطلاعات این فعالان را داشتهاند. در گزارشهای منتشر شده گروه هدف این رشته هک در گام اول ایرانیان خارج از کشور و سپس سیاستمداران، سازمانهای تجاری، اقتصادی و نظامی خارجی بوده است.
نام فیشینگ به مجموعهای از فعالیتها اطلاق میشود که با جعل نام، متن ایمیل، صفحه سایت، … تلاش میکند که کاربر را فریب داده و اطلاعات لازم برای دسترسی به داشتههای الکترونیک وی از جمله نام کاربری، حساب بانکی، گذرواژه و موارد مشابه را بهدست آورد. واژهی فیشینگ، کوتاه شده عبارت Password Harvesting Fishing به معنای شکار گذرواژه کاربر از طریق یک طعمه است، در این واژه برای القاء مفهوم فریفتن بهجای حرف F از PH استفاده شده است. در هر صورت فارغ از شکل نوشتاری، این کلمه بیانگر همه انواع تلاشهایی است که برای فریفتن کاربر با هدف بهدست آوردن اطلاعات حساس وی انجام میشود. در حملات فیشینگ، سارقین تلاش میکنند که با ایجاد شرایط مختلف کاربر را به نحوی گمراه سازند که اطلاعات حساس خود را در اختیار آنها بگذارد. در واقع فیشینگ یکی از شیوههای موسوم به مهندسی اجتماعی که همه اقدامات فریبکارانهای را که منجر به همراه کردن کاربر برای سرقت اطلاعات حساس او میشود، دربر میگیرد. این اطلاعات میتواند شامل نام کاربری و گذرواژه، اطلاعات حساب بانکی و موارد مشابه است. در این نوع حملات مهاجمان باهدف افزایش ضریب موفقیت خود تلاش میکنند ابتدا بهگونهای اعتماد کاربر را جلب کنند.
در حملههای اخیر که در گزارش ایرانسک به آن اشاره شده است، ایمیل ارسالی به قربانیها به گونهای طراحی شده بود که ظاهرا از سوی گوگل برای قربانی فرستاده شده است. در بررسی ابتدایی سه نکتهٔ مشکوک به چشم میخورد: اول این که کاربر درخواست تغییر رمز نداده بود. دوم آدرس فرستندهٔ ایمیل آدرسی غیر رسمی در سرویس جیمیل بود چرا که گوگل از ایمیل با دامنهٔ google.com استفاده میکند نه ایمیل با دامنهٔ gmail.com و سوم اشتباه مبتدیانه در نگارش انگلیسی جملات بود.شیوهٔ دیگری که هکرها از آن در حملههای فیشینگ استفاده میکنند بازی روانی با انگیزهٔ تحت فشار قرار دادن قربانی است. ارسال چندین بارهٔ ایمیل با متنهای متفاوت و افزایش ترس و نگرانی برای ایجاد اشتباه و به دام انداختن قربانی، روشی است که بارها در این نوع حملات فیشینگ تکرار شده است. در حملات مشابه دیده شده است که گاهی هکر با داشتن شماره تلفن قربانی، پیامکهایی مبنی بر تغییر رمز (به اسم جیمیل یا دیگر سرویسها مثل تلگرام) به قربانی ارسال کرده تا بتواند با ایجاد ترس، احتمال خطای کاربر را افزایش دهد.هکرهای طراح این حمله با فاصلهٔ زمانی کم برای قربانی ایمیل دیگری میفرستادند. در این ایمیل عنوان شده بود که فردی از مکانی ناشناخته به شناسهٔ شما وارد شده است. اطلاعات ساختگی از جمله IP، مشخصات سیستمعامل و شهر محل ورود به حساب نیز در ایمیل ذکر شده بود. در گزارشهای رسیده به ایرانسک تا دریافت شش ایمیل هشدار در فاصله کوتاه ۵ دقیقه نیز گزارش شده است.
در تمامی این حملات، فرد با کلیک روی دکمهٔ موجود در ایمیل با صفحهای روبهرو میشد که آدرس آن شبیه آدرس گوگل و محتویات صفحه، مشابه صفحهٔ ورود این سرویس بود. برای فریب کاربران
برای هر قربانی مشخصات و آواتار او طراحی شده بود. در مواردی فاصلهٔ زمانی بین ثبت دامنهٔ جعلی تا استفاده از آن برای فریب قربانیان بسیار کوتاه بوده است؛ به نظر میرسد که این ترفند برای کم کردن احتمال لو رفتن حمله توسط گوگل و کارشناسان امنیتی به کار گرفته شده است.
در مواردی سریعا پس از فرستادن ایمیل فیشینگ اولیه، ایمیل جعلی دیگری برای تایید تغییر پسورد ارسال شده است تا میزان فشار بر قربانی افزایش یابد و دقت او برای بررسی درستی محتوای ایمیل فیشنیگ را کاهش دهد. پس از کلیک روی دکمهٔ Verify قربانی به صفحهای منتقل میشود که متعلق به شرکت گوگل نیست. این صفحه در نهایت پس از هدایت قربانی به صفحهٔ جعلی ورود، صفحهٔ نخست گوگل را نشان میدهد.
در بیشتر موارد بررسی شده توسط ایرانسک، هکرها اطلاعات کافی در مورد قربانیان و ارتباط اینترنتی آنها را در اختیار داشتهاند. ایمیلها در اوج ساعت کاری قربانی ارسال شده یا همزمان با ارسال صفحهٔ فیشینگ به چند شناسهٔ دیگر (ایمیل یا شبکهٔ اجتماعی) فرستاده شده بود تا قربانی احساس کند که مورد یک حملهٔ همهجانبه قرار گرفته است و تمرکز و دقت او کم شود. در مواردی حتی ایمیل تایید یا هشدار به ایمیل پشتیبانی قربانی مبنی بر تغییر رمز، ورود ناموفق، ارسال رمز جدید و … فرستاده شده بود. این امر نشان میدهد که هکرهای طراح این حمله به صورت تصادفی قربانیان را انتخاب نکردهاند و اطلاعات کافی و دقیقی از فعالیتها و رفتار قربانیان داشتهاند.
بررسیهای ایرانسک نشان میدهد که نزدیک به نیمی از ۵۰۰ قربانیان این حملات دنبالهدار فیشینگ، فعالان حقوق بشر و روزنامهنگاران ایرانی بودهاند. اما متاسفانه تعداد احتمالی افرادی که در نتیجه این حملات هک شدهاند مشخص نیست. تا حد ممکن افراد مورد حمله شناسایی شده و اخطار لازم به آنها داده شده است اما این که چه تعدادی از مخاطبان این حملات، فریب خوردهاند یا اطلاعات خود را در اختیار هکرها گذاشتهاند مشخص نیست. حدود نیمی از اهداف این حملات، سیاستمدارن، فعالان مدنی و اقتصادی کشورهای دیگر از جمله کشورهای خاورمیانه، اروپا و آمریکا بودند.
این حملات فیشینگ تنها به زمستان سال ۱۳۹۵ محدود نبوده و در بازههای زمانی مختلف برای فعالان مدنی دیگری نیز تکرار شده است. هکرها پس از اصلاح خطاهای پیشین در اقدامی دیگر برای فریب فعالان مدنی ایرانی، تغییراتی در نوع حمله (شیوهٔ هدف قرار دادن قربانی، متن ایمیل فیشینگ، شیوه و زمان ارسال ایمیل فیشینگ) اعمال کردند. البته این تغییرات به اندازهای نبود که ارتباط سه حملهٔ اخیر به یکدیگر را مخدوش کند.
گستردگی حملات، استفاده از چندین دامنه و سرور، اصلاح روشهای هک و نیز تمرکز بر فعالین مدنی و سیاسی و روزنامهنگاران منتقد حکومت ایران، احتمال این که این حمله با پشتیبانی حکومت ایران بوده است را تقویت میکند. همچنین ردپای گروه هکری Charming Kitten که در توزیع بدافزار MacDownloader فعال بوده، دیده شده است. این بدافزار در تارنمایی با ظاهری شبیه به یک شرکت هوافضای آمریکایی (که به فروش توربین جت و تجهیزات صنعتی دیگر میپردازد) بارگذاری شده بود. کارشناسان امنیتی معتقدند این بدافزار مخالفان دولت ایران و سایر فعالان را هدف قرار داده است. این بدافزار دستگاه قربانی را از طریق یک برنامهٔ بارگیری جعلی Flash Player آلوده میکند و زمان وارد کردن رمز در iCloud Keychain اطلاعات قربانی را به سرور هکرها انتقال میدهد. ساختار این بدافزار بر این پایه است که مرورگر سافاری و دیگر سرویسهای سیستمعامل Mac به طور خودکار رمزها را روی Keychain ذخیره میکند تا در مواقع دیگر که کاربر برای ورود به حساب خود به این رمزها نیاز دارد از آن استفاده کند. این بدافزار در اواخر سال ۲۰۱۶ توسط توسعهدهندگان مبتدی ایجاد شده و در آن از کدِ بدافزارهای دیگر نیز استفاده شده است.
به گفته ایرانسک بخش قابل توجهی از دامنهها و سرورهای مخرب این گروه شناسایی شده و اقدامات لازم برای خروج آنها از سرویسدهی صورت گرفته است.
گزارش «حملهٔ فیشینگ به فعالان مدنی ایرانی» اینجــا در تارنمای ایرانسک در دسترس شماست.
منابع مفید
برای دریافت اطلاعات بیشتر درباره حملات فیشینگ و شیوهها و ابزار مقابله با آن به این مطالب مراجعه کنید:
- حملات فیشینگ؛ کلاهبرداری متداول
- مقابله با فیشینگ
- ایمیلهای فیشینگ
- فیشینگ چیست؟
- نرم افزارهای مقابله با فیشینگ (متن انگلیسی)
- اینفوگرافیک – ۵ راه برای مقابله با حمله فیشینگ
- نکتههایی برای جلوگیری از حملات فیشینگ
- راهکارهای مقابله با حمله فیشینگ
ویدیوهای آموزشی امن گذر را از اینـجـا ببینید.
برای دسترسی به آرشیو بخش امن گذر،اینـجا و همینطور اینـجا را کلیک کنید.