قبل از هر چیزی اول کمی در مورد فیشینگ بدانیم، فیشینگ چیست و چگونه با آن مقابله کنیم؟
فیشینگ Phishing یک روش مخرب برای دسترسی به اطلاعات بانکی افراد و سرقت اموال ایشان است. هکرها درسالهای اخیر تلاشهای زیادی برای به سرقت بردن موجودی حسابهای کاربران اینترنت کردهاند.
امروزه استفاده از اینترنت در زندگی همه ما به امری رایج تبدیل شده و بسیاری از کارهای دشوار گذشته را ساده کرده است. استفاده از اینترنت به همان میزان که از منزل خارج میشویم و به شعب بانک مراجعه میکنیم، ممکن است خطر آفرین باشد. بنابراین با رعایت نکات ایمنی میتوانید خطرات احتمالی حملههای فیشینگی را کاهش دهید.
فیشینگ انواع مختلفی دارد که به روش های مختلف تلاش میکنند به اطلاعات بانکی شما از طریق روش های متنوع مهندسی اجتماعی (Social Engineering) که در حوزه فیشینگ مانند ایمیل، تماس تلفنی، صفحات جعلی پرداخت، پیامک، انواع مدل های ربات های تلگرام و انواع روش های جدیدی که انتظار آن نمی رود، دست یابد.
حال به سراغ بررسی فنی یک اپلیکیشن فیشینگ که اخیراً از طریق ارسال پیامکی مبنی بر ابلاغ الکترونیکی قوه قضائیه به کاربران ارسال می شود می رویم.
فیشینگ بعد از رمز دوم پویا و بدافزارهای Push Notification
تقریبا از بعد از اجرای طرح رمز دوم پویا فیشینگ صفحات بانکی هم تغییر کرده و شکل جدیدی به خود گرفت و پیشرفت کرد هر چند رمزدوم پویا توانست تا حد بسیار خوبی جلوی وضعیت نابسامان فیشینگ در ایران را بگیرد
اما کماکان فیشرها از روشهای جدیدتری برای اینکار استفاده میکنند مطالب متفاوتی در مورد این روشها نوشته شده اما به بهانه اینکه امروز و در زمان خالی یک اپلیکیشن فیشینگ رو بررسی کردم در کنار گزارش اون مواردی رو هم درباره روشها جدید مینویسم.
شروع انتشار اپلیکیشن
همه چیز با یک پیام یا پیامک شروع میشود که محتوای آن این است که یک ابلاغیه الکترونیکی برای شما صادر شده است و برای مشاهده آن باید روی لینک زیر کلیک کنید این سناریو با توجه به اینکه سامانه های قوه قضاییه هم به تازگی الکترونیکی شده است و خود موضوع هم موضوع مهمی میباشد میتواند کاربر را مجبور کند تا روی لینک کلیک کند.
بعد از کلیک روی لینک کوتاه شده اپلیکیشن آلوده که روی یک سرویس عمومی میزبانی شده است دانلود میشود و بعد از این که اپلیکیشن را نصب کنید ابتدا با درخواست هایی نصب شدن اپلیکیشن برای فیشر مشخص میشود و سپس شما صفحه ای را با مضمون سامانه قوه قضاییه مشاهده میکنید.
در ادامه بعد از تایید اپلیکیشن از شما نام و نام خانوادگی و همینطور شماره تماس و کد ملی دریافت میکند و میگوید برای ورود به سامانه باید مبلغ اندکی برای مثال ۲۰۰۰ تومن رو پرداخت بکنید.
پس از این مرحله شما به درگاه پرداخت به پرداخت ملت شبیه سازی شده منتقل میشوید حتی یک نوار آدرس در این درگاه بصورت جعلی طراحی شده است که آدرس اصلی درگاه در سایت شاپرک را بصورت درست نمایش میدهد اما در واقع این نوار آدرس مربوط به مرورگر نمیباشد و ساختگی است.
در این صفحه مبلغ به رقم مشخص شده و پس از این که قربانی اطلاعات را واریز میکند و کپچا را حل کرده و درخواست رمز دوم میکند بعد از مدت کوتاهی پیامک رمز دوم برای قربانی ارسال میشود تا به اینجا فرایندی نیز در پشت صحنه در حال اجرا میباشد که در ادامه توضیح خواهم داد پس از دریافت رمز دوم پویا قربانی رمزدوم را وارد کرده و تایید میکند اما درگاه صفحه اروری را نمایش میدهد مبنی بر اینکه مشکلی پیش آمده است و همزمان اطلاعات کارت قربانی به همراه کپچا و رمز دوم را به سرور خود ارسال میکند.
بعد از پایان این مرحله وقتی کاربر میخواهد به اپلیکیشن برگردد ایکون اپلیکیشن حذف شده و پیامی مبنی بر اینکه اپ حذف شده نمایش داده میشود اما در واقع حذف نشده و فقط ایکون آن پنهان شده است.
چه اتفاقی در پشت ماجرا می افتد
پیج های فیشینگی که به تازگی طراحی شده اند پیشرفت زیادی کرده اند همزمان که شما به صفحه پرداخت جعلی منتقل میشوید در پشت صحنه یک درگاه پرداخت واقعی معمولا یک فرایند خرید شارژ از سایت های فروش شارژ تلفن همراه نیز اجرا میشود و به اصطلاح بعنوان درگاه پروکسی شده قرار میگیرد هر چیزی که شما وارد میکنید دقیقا به این درگاه منتقل میشود و وقتی درخواست رمز پویا میکنید از آن درگاهی که در پشت صحنه اجرا شده است درخواست رمز پویا داده میشود با توجه به یکی بودن مبالغ وقتی شما رمز دوم پیامک شده را وارد میکنید در آن طرف هم وارد میشود و خرید شارژ از حساب شما انجام میشود به این طریق فیشر میتواند صحت اطلاعات دریافتی از شما را تایید کند و در صورتی که اطلاعات صحیح نباشد و پرداخت انجام نشود اطلاعات دور ریخته میشود.
مشکل اصلی که برای فیشر اینجا وجود دارد حل کردن کپچا درگاه اصلی میباشد که البته به روشهایی قابل حل میباشد اما روشی که به نظر میرسد قابل اجرا تر است و اجرا هم میشود انتقال کپچا درگاه اصلی به درگاه جعلی میباشد به این طریق شما کپچا آن درگاه دیگر را هم حل میکنید و برای فیشر میفرستید او هم بی دردسر پرداخت را انجام میدهد.
کماکان موردی که هست به علت ارتباط رمز دوم و مبلغ قابل پرداخت فیشر میتواند فقط همانقدری از کارت شما برداشت کند که برایتان درگاه جعلی باز کرده است یا اگر غیر از این باشد شما در پیامک رمز پویا مبلغ درحال پرداخت و همینطور نام صاحب درگاه را میبیند پس نمیتوان مبلغ قابل توجه و زیادی برداشت کرد همینطور که نمیتوان از موجودی واقعی حساب مطلع شد و ممکن است حساب موجودی کافی نداشته باشد.
رفتار بدافزار گونه
تا به اینجا همه چیز یک فرایند فیشینگ بود که بدون نیاز به اپلیکیشن میتوانست بر بستر وب نیز اجرا شود اما این بدافزار یک امکان دیگر نیز به فیشر میدهد مخصوصا وقتی که اطلاعات کارت شما را گرفته است و حالا فقط نیاز به پیامک رمز دوم پویا دارد و البته اپلیکیشن بصورت مخفی در تلفن همراه نصب میباشد.
قابلیت بدافزاری که وجود دارد امکان خواندن همه پیامک های دریافتی میباشد بدافزار میتواند با استفاده از PhoneEvents.SMSInterceptor در B4A از دریافت پیامک ها مطلع شده و آنها را بخواند.
حالا بدافزار میتواند درخواست رمز پویا دهد و رمز پیامک شده را هم هر زمان خواست ببیند برای اینکار فیشر پیامک را از طریق یک بات تلگرام برای خود میفرستد اما اشتباهی که کرده توکن بات را در داخل اپلیکیشن هارد کد کرده است.
سواستفاده از Push Notification
اما برای همه اینکارها نیاز به ارتباط با سرور دریافت دستورات و ارسال دستورات به بدافزار وجود دارد که بصورت خیلی کلی آن را C&C می نامیم اگر قبلا از نوشتههای من خوانده باشید در ماجرای تلگرام طلایی و غیررسمی ها نوشته بود که اینها از سرویس Push Notification برای ارسال دستورات استفاده میکنند به این شکل که یک رسیور از قبل نوشته شده است و با دریافت اطلاعات متفاوتی در قالب یک پوش نوتیف دستورات مختلفی در اپلیکیشن اجرا میشوند و همینطور اطلاعاتی مثل آدرسها و دستورات به بدافزار میرسند.
در این روش فوایدی برای فیشر هکر وجود دارد که یکی از آنها این است که میتواند همه داده های حساس را در اپلیکیشن هارد کد نکند و هر زمان که خواست آنها را به اپلیکیشن برساند و در نتیجه جرمیابی و ردیابی هکر سخت تر میشود از طرفی احتمال شناسایی خودکار بدافزار توسط آنتی ویروس ها یا نمایش اطلاعات درون آن نیز کمتر میشود همینطور نیاز نیست هکر برای اینکار از زیرساخت های ارتباطی خودش استفاده کند.
در این بدافزار هم از این تکنیک استفاده شده است اینجا و در زمانی که بدافزار در گوشی نصب میباشد و ایکون آن مخفی میباشد و همینطور فیشر قبلا همه اطلاعات بانکی فرد به جز رمز دوم پویا را دریافت کرده است با ارسال پوش نوتیف هکر میتواند دستوراتی شامل دریافت اطلاعات دستگاه و همینطور دریافت کلیپ بورد کاربر را بفرستد اتفاقی که برای برداشتن پیامک ها می افتد با دریافت یک پوش نوتیف که حاوی کلید واژه ها و اطلاعات خاصی است هکر دستگاه را به حالت بیصدا تغییر میدهد.
سپس میتواند پیامک دریافتی را نیز از طریق بات تلگرام دریافت کند.
نهایتا فیشر میتواند در آرامش از کارت قربانی موجودی بگیرد و بعد مبلغی که بخواهد را تراکنش انجام دهد و رمزپویا را هم دریافت کرده و تراکنش را کامل کند.
پایانی
فیشینگ در ایران در حال حاضر بواسطه رمز دوم پویا بسیار کمتر شده است اما حالا فیشرها اقدام به تولید درگاه های بهتر و همینطور بدافزارهای موبایلی میکنند تا رمزدوم پویا را بدست بیاورند البته هیچ وقت نمیتوان بصورت ۱۰۰ درصد جلوی این نوع از فیشینگ را گرفت اما هنوز راهکارهای وجود دارد که بتوان امار را باز هم کمتر و کمتر کرد و قطعا بخش مهمی از این راهکارها اطلاع رسانی و افزایش آگاهی افراد در زمینه امنیت سایبری میباشد.
معمولا این کمپین های فیشینگ هرکدام یک صفحه و اپلیکیشن ندارند و یک کدی که فردی نوشته است بصورت پکیج اماده فروخته میشود و افرادی فقط با خریدن این کدها و تغییر دادن بعضی متغیرها مثل ادرس سایت و ربات تلگرام و … و با تبلیغات یک فیشینگ برای خودشان راه می اندازند.
دیدگاه نیوز را در شبکه های اجتماعی دنبال کنید | |||||||
سردبیر خبر روز، بیش از 16 سال است که در زمینه های تخصصی طراحی، توسعه، بهینه سازی و سئوسازی وب فعالیت می کند. وی از سال ۱۳۸۷ فعالیت خبری خود را در حوزه اخبار تکنولوژی آغاز کرده و از سال ۱۳۹۳ در حوزه های سیاسی، اجتماعی، اقتصادی شروع به فعالیت مستمر خبری کرده است. وی عضو هیئت مدیره شرکت رایسام نیز می باشد.
دیدگاهتان را بنویسید