رشد سریع کلاه برداری های SMSای در ایران

2021/12/04
ارسال شده توسط
امنیت شبکه
1.51k بازدید
کلاهبرداری های اس ام اسی ایران
زمان مطالعه: ۴ دقیقه

در چند ماه گذشته، چندین رسانه و شبکه‌های اجتماعی ایرانی هشدارهایی را درباره کمپین‌های فیشینگ پیامکی منتشر کرده‌اند که جعل هویت سرویس‌های دولتی ایران هستند. داستانی قدیمی و آشنا: قربانیان روی یک پیوند مخرب کلیک می کنند، جزئیات کارت اعتباری خود را وارد می کنند و در عرض چند ساعت پول آنها از بین می رود. آنچه در مورد این کمپین ها قابل توجه است، گستردگی این حملات است. تعداد بی سابقه ای از قربانیان داستان های مشابهی را در بخش نظرات خبرگزاری ها و شبکه های اجتماعی درباره نحوه تخلیه حساب های بانکی خود به اشتراک گذاشته اند.

برخلاف حملاتی که قبلاً در این زمینه شناخته شده بود مانند تروجان Flubot که داده‌های حساس را از دستگاه‌ها با تزریق کد و نمایش صفحه‌های جعلب می‌دزدید، برنامه‌های مخرب ارائه‌شده در این روش بر مهندسی اجتماعی تکیه می‌کنند تا قربانیان را فریب دهند تا جزئیات کارت اعتباری خود را تحویل دهند. روش عمل همیشه یکسان است. قربانیان یک اس ام اس با ظاهر قانونی با پیوند به یک صفحه فیشینگ که جعل خدمات دولتی است دریافت می کنند و آنها را فریب می دهد تا یک برنامه مخرب اندروید را دانلود کنند و سپس هزینه کمی برای این سرویس بپردازند. این برنامه مخرب نه تنها شماره کارت اعتباری قربانی را جمع آوری می کند، بلکه به پیامک احراز هویت ۲FA آنها نیز دسترسی پیدا می کند و دستگاه قربانی را به رباتی تبدیل می کند که می تواند پیامک های فیشینگ مشابه را به سایر قربانیان احتمالی پخش کند. شواهد فنی و گزارش‌های عمومی نشان می‌دهد که ده‌ها هزار قربانی آسیب دیده‌اند و میلیاردها ریال ایرانی به سرقت رفته‌اند که مبالغی بالغ بر ۱۰۰۰ تا ۲۰۰۰ دلار برای هر قربانی می‌رسد.

اگرچه شیوع و خطر این کمپین ها توسط رسانه ها مطرح شد و توجه پلیس سایبری ایران را به خود جلب کرد، اما مهاجمان همچنان در حال رشد هستند و تقریباً به صورت روزانه برنامه های مخرب خود را به روز می کنند.

چگونگی انجام حمله پیامکی ایران

حمله با پیامک فیشینگ شروع می شود. در بسیاری از موارد، این پیامی جعلی از یک سیستم اطلاع رسانی قضایی الکترونیکی است که به قربانی اطلاع می دهد که شکایت جدیدی علیه او ایجاد شده است. جدی بودن چنین موضوعی ممکن است توضیح دهد که چرا این کمپین جعلی رشد زیادی داشته است. هنگامی که پای پیام های رسمی دولتی در میان است، اکثر شهروندان قبل از کلیک کردن روی پیوندها دو بار فکر نمی کنند.

همانطور که توسط چندین کاربر توییتر گزارش شده است، این پیامک حاوی یک اخطار جعلی از سوی قوه قضاییه ایران در مورد یک پرونده/شکایت جدید است و پیشنهاد می‌کند برای بررسی کامل شکایت روی لینک کلیک کنید. پیوند از پیامک به یک سایت فیشینگ منتهی می شود که معمولاً یک سایت رسمی دولتی را تقلید می کند. شکایت از کاربر به اطلاع وی می رسد و جهت ورود به سامانه الکترونیکی و پرهیز از مراجعه به شعبه آفلاین به دلیل محدودیت های ناشی از کووید، اطلاعات شخصی درخواست می شود.

کلاهبرداری های اس ام اسی ایران

پس از وارد کردن اطلاعات شخصی، قربانی به صفحه ای هدایت می شود تا فایل مخرب apk. را دریافت کند. پس از نصب، اپلیکیشن اندروید یک صفحه ورود جعلی برای سرویس احراز هویت سانا (سامانه اطلاع رسانی الکترونیکی قضایی ایران) را نشان می دهد که شماره تلفن همراه و شماره هویت ملی قربانی را درخواست می کند. همچنین به قربانی اطلاع می دهد که برای ادامه باید هزینه ای بپردازد. این فقط مقدار کمی است (۲۰۰۰۰ یا گاهی ۵۰۰۰۰ ریال ایران) که شک را کاهش می دهد و عمل را مشروع جلوه می دهد.

درگاه جعلی ثنا

پس از وارد کردن جزئیات، قربانی به صفحه پرداخت هدایت می شود. مشابه بیشتر صفحات فیشینگ، پس از ارسال اطلاعات کارت اعتباری، سایت پیام “خطای پرداخت” را نشان می دهد. البته مبلغ ۲۰۰۰۰ ریال هدف نهایی مهاجمان نیست. مهاجم اطلاعات اعتباری قربانی را در اختیار دارد و برنامه اندروید – درب پشتی که هنوز روی دستگاه قربانی نصب شده است – می تواند هر زمان که یک رمز ۲FA یا تأیید اضافی از شرکت کارت اعتباری لازم باشد سرقت بعدی را انجام دهند.

درگاه پرداخت جعلی

این قابلیت های درب پشتی بد افزار اندروید عبارتند از:

دزدی اس ام اس: بلافاصله پس از نصب اپلیکیشن جعلی، تمامی پیامک های قربانی در سرور مهاجم آپلود می شود.

پنهان شدن برای حفظ پایداری پس از ارسال اطلاعات کارت اعتباری برای عامل تهدید، برنامه می‌تواند آیکون خود را پنهان کند و کنترل یا حذف برنامه را برای قربانی چالش برانگیز کند.

دور زدن ۲FA. مهاجمان با دسترسی به جزئیات کارت اعتباری و پیامک های موجود در دستگاه قربانی، می توانند با برداشت غیرمجاز از حساب های بانکی قربانی، احراز هویت ۲FA (رمز عبور یکبار مصرف) را ربوده و اقدام کنند.

قابلیت های بات نت این بدافزار می‌تواند از طریق FCM (Firebase Cloud Messaging) با سرور C&C ارتباط برقرار کند که به مهاجم اجازه می‌دهد تا دستورات اضافی را روی دستگاه قربانی اجرا کند، مانند سرقت مخاطبین و ارسال پیام‌های SMS.

Wormability این برنامه می‌تواند با استفاده از یک پیام سفارشی و فهرستی از شماره‌های تلفن که هر دو از سرور C&C بازیابی شده‌اند، پیام‌های SMS را به فهرستی از قربانیان احتمالی ارسال کند. این به بازیگران اجازه می‌دهد تا پیام‌های فیشینگ را از شماره تلفن‌های کاربران معمولی به جای یک مکان متمرکز توزیع کنند و به مجموعه کوچکی از شماره‌های تلفن که به راحتی مسدود می‌شوند محدود نشوند. این بدان معناست که از نظر فنی، هیچ شماره “مخفی” وجود ندارد که توسط شرکت های مخابراتی مسدود شود یا به مهاجم بازگردد.

منبع: checkpoint.com

اشتراک گذاری:
برچسب ها:
در تلگرام
کانال ما را دنبال کنید!
در اینستاگرام
ما را دنبال کنید!
مطالب زیر را حتما بخوانید

دیدگاهتان را بنویسید