رشد سریع کلاه برداری های SMSای در ایران
در چند ماه گذشته، چندین رسانه و شبکههای اجتماعی ایرانی هشدارهایی را درباره کمپینهای فیشینگ پیامکی منتشر کردهاند که جعل هویت سرویسهای دولتی ایران هستند. داستانی قدیمی و آشنا: قربانیان روی یک پیوند مخرب کلیک می کنند، جزئیات کارت اعتباری خود را وارد می کنند و در عرض چند ساعت پول آنها از بین می رود. آنچه در مورد این کمپین ها قابل توجه است، گستردگی این حملات است. تعداد بی سابقه ای از قربانیان داستان های مشابهی را در بخش نظرات خبرگزاری ها و شبکه های اجتماعی درباره نحوه تخلیه حساب های بانکی خود به اشتراک گذاشته اند.
برخلاف حملاتی که قبلاً در این زمینه شناخته شده بود مانند تروجان Flubot که دادههای حساس را از دستگاهها با تزریق کد و نمایش صفحههای جعلب میدزدید، برنامههای مخرب ارائهشده در این روش بر مهندسی اجتماعی تکیه میکنند تا قربانیان را فریب دهند تا جزئیات کارت اعتباری خود را تحویل دهند. روش عمل همیشه یکسان است. قربانیان یک اس ام اس با ظاهر قانونی با پیوند به یک صفحه فیشینگ که جعل خدمات دولتی است دریافت می کنند و آنها را فریب می دهد تا یک برنامه مخرب اندروید را دانلود کنند و سپس هزینه کمی برای این سرویس بپردازند. این برنامه مخرب نه تنها شماره کارت اعتباری قربانی را جمع آوری می کند، بلکه به پیامک احراز هویت ۲FA آنها نیز دسترسی پیدا می کند و دستگاه قربانی را به رباتی تبدیل می کند که می تواند پیامک های فیشینگ مشابه را به سایر قربانیان احتمالی پخش کند. شواهد فنی و گزارشهای عمومی نشان میدهد که دهها هزار قربانی آسیب دیدهاند و میلیاردها ریال ایرانی به سرقت رفتهاند که مبالغی بالغ بر ۱۰۰۰ تا ۲۰۰۰ دلار برای هر قربانی میرسد.
اگرچه شیوع و خطر این کمپین ها توسط رسانه ها مطرح شد و توجه پلیس سایبری ایران را به خود جلب کرد، اما مهاجمان همچنان در حال رشد هستند و تقریباً به صورت روزانه برنامه های مخرب خود را به روز می کنند.
حمله با پیامک فیشینگ شروع می شود. در بسیاری از موارد، این پیامی جعلی از یک سیستم اطلاع رسانی قضایی الکترونیکی است که به قربانی اطلاع می دهد که شکایت جدیدی علیه او ایجاد شده است. جدی بودن چنین موضوعی ممکن است توضیح دهد که چرا این کمپین جعلی رشد زیادی داشته است. هنگامی که پای پیام های رسمی دولتی در میان است، اکثر شهروندان قبل از کلیک کردن روی پیوندها دو بار فکر نمی کنند.
همانطور که توسط چندین کاربر توییتر گزارش شده است، این پیامک حاوی یک اخطار جعلی از سوی قوه قضاییه ایران در مورد یک پرونده/شکایت جدید است و پیشنهاد میکند برای بررسی کامل شکایت روی لینک کلیک کنید. پیوند از پیامک به یک سایت فیشینگ منتهی می شود که معمولاً یک سایت رسمی دولتی را تقلید می کند. شکایت از کاربر به اطلاع وی می رسد و جهت ورود به سامانه الکترونیکی و پرهیز از مراجعه به شعبه آفلاین به دلیل محدودیت های ناشی از کووید، اطلاعات شخصی درخواست می شود.
پس از وارد کردن اطلاعات شخصی، قربانی به صفحه ای هدایت می شود تا فایل مخرب apk. را دریافت کند. پس از نصب، اپلیکیشن اندروید یک صفحه ورود جعلی برای سرویس احراز هویت سانا (سامانه اطلاع رسانی الکترونیکی قضایی ایران) را نشان می دهد که شماره تلفن همراه و شماره هویت ملی قربانی را درخواست می کند. همچنین به قربانی اطلاع می دهد که برای ادامه باید هزینه ای بپردازد. این فقط مقدار کمی است (۲۰۰۰۰ یا گاهی ۵۰۰۰۰ ریال ایران) که شک را کاهش می دهد و عمل را مشروع جلوه می دهد.
پس از وارد کردن جزئیات، قربانی به صفحه پرداخت هدایت می شود. مشابه بیشتر صفحات فیشینگ، پس از ارسال اطلاعات کارت اعتباری، سایت پیام “خطای پرداخت” را نشان می دهد. البته مبلغ ۲۰۰۰۰ ریال هدف نهایی مهاجمان نیست. مهاجم اطلاعات اعتباری قربانی را در اختیار دارد و برنامه اندروید – درب پشتی که هنوز روی دستگاه قربانی نصب شده است – می تواند هر زمان که یک رمز ۲FA یا تأیید اضافی از شرکت کارت اعتباری لازم باشد سرقت بعدی را انجام دهند.
این قابلیت های درب پشتی بد افزار اندروید عبارتند از:
دزدی اس ام اس: بلافاصله پس از نصب اپلیکیشن جعلی، تمامی پیامک های قربانی در سرور مهاجم آپلود می شود.
پنهان شدن برای حفظ پایداری پس از ارسال اطلاعات کارت اعتباری برای عامل تهدید، برنامه میتواند آیکون خود را پنهان کند و کنترل یا حذف برنامه را برای قربانی چالش برانگیز کند.
دور زدن ۲FA. مهاجمان با دسترسی به جزئیات کارت اعتباری و پیامک های موجود در دستگاه قربانی، می توانند با برداشت غیرمجاز از حساب های بانکی قربانی، احراز هویت ۲FA (رمز عبور یکبار مصرف) را ربوده و اقدام کنند.
قابلیت های بات نت این بدافزار میتواند از طریق FCM (Firebase Cloud Messaging) با سرور C&C ارتباط برقرار کند که به مهاجم اجازه میدهد تا دستورات اضافی را روی دستگاه قربانی اجرا کند، مانند سرقت مخاطبین و ارسال پیامهای SMS.
Wormability این برنامه میتواند با استفاده از یک پیام سفارشی و فهرستی از شمارههای تلفن که هر دو از سرور C&C بازیابی شدهاند، پیامهای SMS را به فهرستی از قربانیان احتمالی ارسال کند. این به بازیگران اجازه میدهد تا پیامهای فیشینگ را از شماره تلفنهای کاربران معمولی به جای یک مکان متمرکز توزیع کنند و به مجموعه کوچکی از شمارههای تلفن که به راحتی مسدود میشوند محدود نشوند. این بدان معناست که از نظر فنی، هیچ شماره “مخفی” وجود ندارد که توسط شرکت های مخابراتی مسدود شود یا به مهاجم بازگردد.
منبع: checkpoint.com
مطالب زیر را حتما بخوانید
-
امنیت اینترنت اشیا IOT Security
2.48k بازدید
-
چارچوب Mitre’s ATT&CK چیست؟ و چگونه به تیم امنیت کمک می کند.
3.39k بازدید
-
طرح تداوم کسب و کار (Business Continuity Plan) چیست و چگونه کار می کند؟
278 بازدید
-
Sysmon چیست و چگونه در جمع آوری لاگ به شما کمک میکند
290 بازدید
-
چگونه یک متخصص امنیت سایبری شویم؟ نقشه راه و دوره های مورد نیاز
17.36k بازدید
-
حمله CSRF چیست؟ و راهکارهای مقابله با آن
3.42k بازدید
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.