جزییاتی از حمله‌ «فیشینگ» به فعالان مدنی و روزنامه‌نگاران ایرانی

گروه «ایرانسک» به‌تازگی با انتشار گزارشی جزئیاتی از حمله‌ی موسوم به فیشینگ به فعالان مدنی و روزنامه‌نگاران ایرانی را منتشر کرده است. در گزارش تازه ایرانسک که با عنوان «حملهٔ فیشینگ به فعالان مدنی ایرانی» و به دو زبان فارسی و انگلیسی منتشر شده، سه حمله با مجموع حدود ۵۰۰ هدف در چند ماه منتهی به انتخابات ریاست‌جمهوری ایران بررسی شده است. به گفته کارشناسان گروه ایرانسک «گستردگی حملات، استفاده از چندین دامنه و سرور، اصلاح روش‌های هک و نیز تمرکز بر فعالین مدنی و سیاسی و روزنامه‌نگاران منتقد حکومت ایران، احتمال این که این حمله با پشتیبانی حکومت ایران بوده است را تقویت می‌کند.»

بنا بر گزارش ایرانسک از دی ماه سال گذشته (ابتدای سال ۲۰۱۷ میلادی)، در گزارش‌های متعددی دریافت ایمیل‌های مشکوک که بیشتر حاوی درخواست تغییر رمز شناسه‌های جیمیل بوده است، از سوی برخی روزنامه‌نگاران و فعالان حقوق بشر ایرانی اعلام شد.
افراد و یا نهادهای پشت این حمله‌ها با ارسال ایمیل‌های فیشینگ یا راه‌اندازی تارنماهای تقلبی سعی در به دست آوردن اطلاعات این فعالان را داشته‌اند. در گزارش‌های منتشر شده گروه هدف این رشته هک در گام اول ایرانیان خارج از کشور و سپس سیاست‌مداران، سازمان‌های تجاری، اقتصادی و نظامی خارجی بوده است.

نام فیشینگ به مجموعه‌ای از فعالیت‌ها اطلاق می‌شود که با جعل نام، متن ایمیل، صفحه سایت، … تلاش می‌کند که کاربر را فریب داده و اطلاعات لازم برای دسترسی به داشته‌های الکترونیک وی از جمله نام کاربری، حساب بانکی، گذرواژه و موارد مشابه را به‌دست آورد. واژه‌ی فیشینگ، کوتاه شده عبارت Password Harvesting Fishing به معنای شکار گذرواژه کاربر از طریق یک طعمه است، در این واژه برای القاء مفهوم فریفتن به‌جای حرف F از PH استفاده شده است. در هر صورت فارغ از شکل نوشتاری، این کلمه بیانگر همه انواع تلاش‌هایی است که برای فریفتن کاربر با هدف به‌دست آوردن اطلاعات حساس وی انجام می‌شود. در حملات فیشینگ، سارقین تلاش می‌کنند که با ایجاد شرایط مختلف کاربر را به نحوی گمراه سازند که اطلاعات حساس خود را در اختیار آنها بگذارد. در واقع فیشینگ یکی از شیوه‌های موسوم به مهندسی اجتماعی که همه اقدامات فریبکارانه‌ای را که منجر به همراه کردن کاربر برای سرقت اطلاعات حساس او می‌شود، دربر می‌گیرد. این اطلاعات می‌تواند شامل نام کاربری و گذرواژه، اطلاعات حساب بانکی و موارد مشابه است. در این نوع حملات مهاجمان باهدف افزایش ضریب موفقیت خود تلاش می‌کنند ابتدا به‌گونه‌ای اعتماد کاربر را جلب کنند.

در حمله‌های اخیر که در گزارش ایرانسک به آن اشاره شده است، ایمیل ارسالی به قربانی‌ها به گونه‌ای طراحی شده بود که ظاهرا از سوی گوگل برای قربانی فرستاده شده است. در بررسی ابتدایی سه نکتهٔ مشکوک به چشم می‌خورد: اول این که کاربر درخواست تغییر رمز نداده بود. دوم آدرس فرستندهٔ ایمیل آدرسی غیر رسمی در سرویس جیمیل بود چرا که گوگل از ایمیل با دامنهٔ google.com استفاده می‌کند نه ایمیل با دامنهٔ gmail.com و سوم اشتباه مبتدیانه در نگارش انگلیسی جملات بود.شیوهٔ دیگری که هکرها از آن در حمله‌های فیشینگ استفاده می‌کنند بازی روانی با انگیزهٔ تحت فشار قرار دادن قربانی است. ارسال چندین بارهٔ ایمیل با متن‌های متفاوت و افزایش ترس و نگرانی برای ایجاد اشتباه و به دام انداختن قربانی، روشی است که بارها در این نوع حملات فیشینگ تکرار شده است. در حملات مشابه دیده شده است که گاهی هکر با داشتن شماره تلفن قربانی، پیامک‌هایی مبنی بر تغییر رمز (به اسم جیمیل یا دیگر سرویس‌ها مثل تلگرام) به قربانی ارسال کرده تا بتواند با ایجاد ترس، احتمال خطای کاربر را افزایش دهد.هکرهای طراح این حمله با فاصلهٔ زمانی کم برای قربانی ایمیل دیگری می‌فرستادند. در این ایمیل عنوان شده بود که فردی از مکانی ناشناخته به شناسهٔ شما وارد شده است. اطلاعات ساختگی از جمله IP، مشخصات سیستم‌عامل و شهر محل ورود به حساب نیز در ایمیل ذکر شده بود. در گزارش‌های رسیده به ایرانسک تا دریافت شش ایمیل هشدار در فاصله کوتاه ۵ دقیقه نیز گزارش شده است.
در تمامی این حملات، فرد با کلیک روی دکمهٔ موجود در ایمیل با صفحه‌ای روبه‌رو می‌شد که آدرس آن شبیه آدرس گوگل و محتویات صفحه، مشابه صفحهٔ ورود این سرویس بود. برای فریب کاربران
برای هر قربانی مشخصات و آواتار او طراحی شده بود. در مواردی فاصلهٔ زمانی بین ثبت دامنهٔ جعلی تا استفاده از آن برای فریب قربانیان بسیار کوتاه بوده است؛ به نظر می‌رسد که این ترفند برای کم کردن احتمال لو رفتن حمله توسط گوگل و کارشناسان امنیتی به کار گرفته شده است.
در مواردی سریعا پس از فرستادن ایمیل فیشینگ اولیه، ایمیل جعلی دیگری برای تایید تغییر پسورد ارسال شده است تا میزان فشار بر قربانی افزایش یابد و دقت او برای بررسی درستی محتوای ایمیل فیشنیگ را کاهش دهد. پس از کلیک روی دکمهٔ Verify قربانی به صفحه‌ای منتقل می‌شود که متعلق به شرکت گوگل نیست. این صفحه در نهایت پس از هدایت قربانی به صفحهٔ جعلی ورود، صفحهٔ نخست گوگل را نشان می‌دهد.

در بیش‌تر موارد بررسی شده توسط ایرانسک، هکرها اطلاعات کافی در مورد قربانیان و ارتباط اینترنتی آن‌ها را در اختیار داشته‌اند. ایمیل‌ها در اوج ساعت کاری قربانی ارسال شده یا هم‌زمان با ارسال صفحهٔ فیشینگ به چند شناسهٔ دیگر (ایمیل یا شبکهٔ اجتماعی) فرستاده شده بود تا قربانی احساس کند که مورد یک حملهٔ همه‌جانبه قرار گرفته است و تمرکز و دقت او کم شود. در مواردی حتی ایمیل تایید یا هشدار به ایمیل پشتیبانی قربانی مبنی بر تغییر رمز، ورود ناموفق، ارسال رمز جدید و … فرستاده شده بود. این امر نشان می‌دهد که هکرهای طراح این حمله به صورت تصادفی قربانیان را انتخاب نکرده‌اند و اطلاعات کافی و دقیقی از فعالیت‌ها و رفتار قربانیان داشته‌اند.

بررسی‌های ایرانسک نشان می‌دهد که نزدیک به نیمی از ۵۰۰ قربانیان این حملات دنباله‌دار فیشینگ، فعالان حقوق بشر و روزنامه‌نگاران ایرانی بوده‌اند. اما متاسفانه تعداد احتمالی افرادی که در نتیجه این حملات هک شده‌اند مشخص نیست. تا حد ممکن افراد مورد حمله شناسایی شده و اخطار لازم به آن‌ها داده شده است اما این که چه تعدادی از مخاطبان این حملات، فریب خورده‌اند یا اطلاعات خود را در اختیار هکرها گذاشته‌اند مشخص نیست. حدود نیمی از اهداف این حملات، سیاست‌مدارن، فعالان مدنی و اقتصادی کشورهای دیگر از جمله کشورهای خاورمیانه، اروپا و آمریکا بودند.

این حملات فیشینگ تنها به زمستان سال ۱۳۹۵ محدود نبوده و در بازه‌های زمانی مختلف برای فعالان مدنی دیگری نیز تکرار شده است. هکرها پس از اصلاح خطاهای پیشین در اقدامی دیگر برای فریب فعالان مدنی ایرانی، تغییراتی در نوع حمله (شیوهٔ هدف قرار دادن قربانی، متن ایمیل فیشینگ، شیوه و زمان ارسال ایمیل فیشینگ) اعمال کردند. البته این تغییرات به اندازه‌ای نبود که ارتباط سه حملهٔ اخیر به یکدیگر را مخدوش کند.

گستردگی حملات، استفاده از چندین دامنه و سرور، اصلاح روش‌های هک و نیز تمرکز بر فعالین مدنی و سیاسی و روزنامه‌نگاران منتقد حکومت ایران، احتمال این که این حمله با پشتیبانی حکومت ایران بوده است را تقویت می‌کند. همچنین ردپای گروه هکری Charming Kitten که در توزیع بدافزار MacDownloader فعال بوده، دیده شده است. این بدافزار در تارنمایی با ظاهری شبیه به یک شرکت هوافضای آمریکایی (که به فروش توربین جت و تجهیزات صنعتی دیگر می‌پردازد) بارگذاری شده بود. کارشناسان امنیتی معتقدند این بدافزار مخالفان دولت ایران و سایر فعالان را هدف قرار داده است. این بدافزار دستگاه قربانی را از طریق یک برنامهٔ بارگیری جعلی Flash Player آلوده می‌کند و زمان وارد کردن رمز در iCloud Keychain اطلاعات قربانی را به سرور هکرها انتقال می‌دهد. ساختار این بدافزار بر این پایه است که مرورگر سافاری و دیگر سرویس‌های سیستم‌عامل Mac به طور خودکار رمزها را روی Keychain ذخیره می‌کند تا در مواقع دیگر که کاربر برای ورود به حساب خود به این رمزها نیاز دارد از آن استفاده کند. این بدافزار در اواخر سال ۲۰۱۶ توسط توسعه‌دهندگان مبتدی ایجاد شده و در آن از کدِ بدافزارهای دیگر نیز استفاده شده است.

به گفته ایرانسک بخش قابل توجهی از دامنه‌ها و سرورهای مخرب این گروه شناسایی شده و اقدامات لازم برای خروج آن‌ها از سرویس‌دهی صورت گرفته است.

گزارش «حملهٔ فیشینگ به فعالان مدنی ایرانی» اینجــا در تارنمای ایرانسک در دسترس شماست.

منابع مفید

برای دریافت اطلاعات بیشتر درباره حملات فیشینگ و شیوه‌ها و ابزار مقابله با آن به این مطالب مراجعه کنید:

ویدیوهای آموزشی امن گذر را از اینـجـا ببینید.

برای دسترسی به آرشیو بخش امن گذر،اینـجا و همینطور اینـجا را کلیک کنید.