×
آخرین اخبار

هکر چگونه با یک پیامک حساب شما را خالی می کند؟ / بررسی یک اپلیکیشن بد افزار به نام «سامانه ثنا»

  • کد نوشته: 69646
  • ۱۴۰۰-۰۵-۲۷
  • 2046 بازدید
  • قبل از هر چیزی اول کمی در مورد فیشینگ بدانیم، فیشینگ چیست و چگونه با آن مقابله کنیم؟ فیشینگ Phishing یک روش مخرب برای دسترسی به اطلاعات بانکی افراد و سرقت اموال ایشان است. هکرها درسال‌های اخیر تلاش‌های زیادی برای به سرقت بردن موجودی حساب‌های کاربران اینترنت کرده‌اند. امروزه استفاده از اینترنت در زندگی همه […]

    هکر چگونه با یک پیامک حساب شما را خالی می کند؟ / بررسی یک اپلیکیشن بد افزار به نام «سامانه ثنا»

    قبل از هر چیزی اول کمی در مورد فیشینگ بدانیم، فیشینگ چیست و چگونه با آن مقابله کنیم؟

    فیشینگ Phishing یک روش مخرب برای دسترسی به اطلاعات بانکی افراد و سرقت اموال ایشان است. هکرها درسال‌های اخیر تلاش‌های زیادی برای به سرقت بردن موجودی حساب‌های کاربران اینترنت کرده‌اند.

    امروزه استفاده از اینترنت در زندگی همه ما به امری رایج تبدیل شده و بسیاری از کارهای دشوار گذشته را ساده کرده است. استفاده از اینترنت به همان میزان که از منزل خارج می‌شویم و به شعب بانک مراجعه می‌کنیم، ممکن است خطر آفرین باشد. بنابراین با رعایت نکات ایمنی می‌توانید خطرات احتمالی حمله‌های فیشینگی را کاهش دهید.

    فیشینگ انواع مختلفی دارد که به روش های مختلف تلاش می‌کنند به اطلاعات بانکی شما از طریق روش های متنوع مهندسی اجتماعی (Social Engineering) که در حوزه فیشینگ مانند ایمیل، تماس تلفنی، صفحات جعلی پرداخت، پیامک، انواع مدل های ربات های تلگرام و انواع روش های جدیدی که انتظار آن نمی رود، دست یابد.

    حال به سراغ بررسی فنی یک اپلیکیشن فیشینگ که اخیراً از طریق ارسال پیامکی مبنی بر ابلاغ الکترونیکی قوه قضائیه به کاربران ارسال می شود می رویم. 

    فیشینگ بعد از رمز دوم پویا و بدافزارهای Push Notification

    تقریبا از بعد از اجرای طرح رمز دوم پویا فیشینگ صفحات بانکی هم تغییر کرده و شکل جدیدی به خود گرفت و پیشرفت کرد هر چند رمزدوم پویا توانست تا حد بسیار خوبی جلوی وضعیت نابسامان فیشینگ در ایران را بگیرد

    اما کماکان فیشرها از روش‌های جدیدتری برای اینکار استفاده میکنند مطالب متفاوتی در مورد این روش‌ها نوشته شده اما به بهانه اینکه امروز و در زمان خالی یک اپلیکیشن فیشینگ رو بررسی کردم در کنار گزارش اون مواردی رو هم درباره روش‌ها جدید مینویسم.

    شروع انتشار اپلیکیشن

    همه چیز با یک پیام یا پیامک شروع میشود که محتوای آن این است که یک ابلاغیه الکترونیکی برای شما صادر شده است و برای مشاهده آن باید روی لینک زیر کلیک کنید این سناریو با توجه به اینکه سامانه های قوه قضاییه هم به تازگی الکترونیکی شده است و خود موضوع هم موضوع مهمی میباشد میتواند کاربر را مجبور کند تا روی لینک کلیک کند.

    بعد از کلیک روی لینک کوتاه شده اپلیکیشن آلوده که روی یک سرویس عمومی میزبانی شده است دانلود میشود و بعد از این که اپلیکیشن را نصب کنید ابتدا با درخواست هایی نصب شدن اپلیکیشن برای فیشر مشخص میشود و سپس شما صفحه ای را با مضمون سامانه قوه قضاییه مشاهده میکنید.

    در ادامه بعد از تایید اپلیکیشن از شما نام و نام خانوادگی و همینطور شماره تماس و کد ملی دریافت میکند و میگوید برای ورود به سامانه باید مبلغ اندکی برای مثال ۲۰۰۰ تومن رو پرداخت بکنید.

    پس از این مرحله شما به درگاه پرداخت به پرداخت ملت شبیه سازی شده منتقل میشوید حتی یک نوار آدرس در این درگاه بصورت جعلی طراحی شده است که آدرس اصلی درگاه در سایت شاپرک را بصورت درست نمایش میدهد اما در واقع این نوار آدرس مربوط به مرورگر نمیباشد و ساختگی است.

    در این صفحه مبلغ به رقم مشخص شده و پس از این که قربانی اطلاعات را واریز میکند و کپچا را حل کرده و درخواست رمز دوم میکند بعد از مدت کوتاهی پیامک رمز دوم برای قربانی ارسال میشود تا به اینجا فرایندی نیز در پشت صحنه در حال اجرا میباشد که در ادامه توضیح خواهم داد پس از دریافت رمز دوم پویا قربانی رمزدوم را وارد کرده و تایید میکند اما درگاه صفحه اروری را نمایش میدهد مبنی بر اینکه مشکلی پیش آمده است و همزمان اطلاعات کارت قربانی به همراه کپچا و رمز دوم را به سرور خود ارسال میکند.

    بعد از پایان این مرحله وقتی کاربر میخواهد به اپلیکیشن برگردد ایکون اپلیکیشن حذف شده و پیامی مبنی بر اینکه اپ حذف شده نمایش داده میشود اما در واقع حذف نشده و فقط ایکون آن پنهان شده است.

    چه اتفاقی در پشت ماجرا می افتد

    پیج های فیشینگی که به تازگی طراحی شده اند پیشرفت زیادی کرده اند همزمان که شما به صفحه پرداخت جعلی منتقل میشوید در پشت صحنه یک درگاه پرداخت واقعی معمولا یک فرایند خرید شارژ از سایت های فروش شارژ تلفن همراه نیز اجرا می‌شود و به اصطلاح بعنوان درگاه پروکسی شده قرار میگیرد هر چیزی که شما وارد میکنید دقیقا به این درگاه منتقل میشود و وقتی درخواست رمز پویا میکنید از آن درگاهی که در پشت صحنه اجرا شده است درخواست رمز پویا داده میشود با توجه به یکی بودن مبالغ وقتی شما رمز دوم پیامک شده را وارد میکنید در آن طرف هم وارد میشود و خرید شارژ از حساب شما انجام میشود به این طریق فیشر میتواند صحت اطلاعات دریافتی از شما را تایید کند و در صورتی که اطلاعات صحیح نباشد و پرداخت انجام نشود اطلاعات دور ریخته می‌شود.

    مشکل اصلی که برای فیشر اینجا وجود دارد حل کردن کپچا درگاه اصلی میباشد که البته به روش‌هایی قابل حل میباشد اما روشی که به نظر میرسد قابل اجرا تر است و اجرا هم میشود انتقال کپچا درگاه اصلی به درگاه جعلی میباشد به این طریق شما کپچا آن درگاه دیگر را هم حل میکنید و برای فیشر میفرستید او هم بی دردسر پرداخت را انجام میدهد.

    کماکان موردی که هست به علت ارتباط رمز دوم و مبلغ قابل پرداخت فیشر میتواند فقط همانقدری از کارت شما برداشت کند که برایتان درگاه جعلی باز کرده است یا اگر غیر از این باشد شما در پیامک رمز پویا مبلغ درحال پرداخت و همینطور نام صاحب درگاه را میبیند پس نمیتوان مبلغ قابل توجه و زیادی برداشت کرد همینطور که نمیتوان از موجودی واقعی حساب مطلع شد و ممکن است حساب موجودی کافی نداشته باشد.

    رفتار بدافزار گونه

    تا به اینجا همه چیز یک فرایند فیشینگ بود که بدون نیاز به اپلیکیشن میتوانست بر بستر وب نیز اجرا شود اما این بدافزار یک امکان دیگر نیز به فیشر میدهد مخصوصا وقتی که اطلاعات کارت شما را گرفته است و حالا فقط نیاز به پیامک رمز دوم پویا دارد و البته اپلیکیشن بصورت مخفی در تلفن همراه نصب میباشد.

    قابلیت بدافزاری که وجود دارد امکان خواندن همه پیامک های دریافتی میباشد بدافزار میتواند با استفاده از PhoneEvents.SMSInterceptor در B4A از دریافت پیامک ها مطلع شده و آنها را بخواند.

    حالا بدافزار میتواند درخواست رمز پویا دهد و رمز پیامک شده را هم هر زمان خواست ببیند برای اینکار فیشر پیامک را از طریق یک بات تلگرام برای خود میفرستد اما اشتباهی که کرده توکن بات را در داخل اپلیکیشن هارد کد کرده است.

    سواستفاده از Push Notification

    اما برای همه اینکارها نیاز به ارتباط با سرور دریافت دستورات و ارسال دستورات به بدافزار وجود دارد که بصورت خیلی کلی آن را C&C می نامیم اگر قبلا از نوشته‌های من خوانده باشید در ماجرای تلگرام طلایی و غیررسمی ها نوشته بود که اینها از سرویس Push Notification برای ارسال دستورات استفاده میکنند به این شکل که یک رسیور از قبل نوشته شده است و با دریافت اطلاعات متفاوتی در قالب یک پوش نوتیف دستورات مختلفی در اپلیکیشن اجرا میشوند و همینطور اطلاعاتی مثل آدرس‌ها و دستورات به بدافزار میرسند.

    در این روش فوایدی برای فیشر هکر وجود دارد که یکی از آنها این است که میتواند همه داده های حساس را در اپلیکیشن هارد کد نکند و هر زمان که خواست آنها را به اپلیکیشن برساند و در نتیجه جرم‌یابی و ردیابی هکر سخت تر میشود از طرفی احتمال شناسایی خودکار بدافزار توسط آنتی ویروس ها یا نمایش اطلاعات درون آن نیز کمتر میشود همینطور نیاز نیست هکر برای اینکار از زیرساخت های ارتباطی خودش استفاده کند.

    در این بدافزار هم از این تکنیک استفاده شده است اینجا و در زمانی که بدافزار در گوشی نصب میباشد و ایکون آن مخفی میباشد و همینطور فیشر قبلا همه اطلاعات بانکی فرد به جز رمز دوم پویا را دریافت کرده است با ارسال پوش نوتیف هکر میتواند دستوراتی شامل دریافت اطلاعات دستگاه و همینطور دریافت کلیپ بورد کاربر را بفرستد اتفاقی که برای برداشتن پیامک ها می افتد با دریافت یک پوش نوتیف که حاوی کلید واژه ها و اطلاعات خاصی است هکر دستگاه را به حالت بیصدا تغییر میدهد.

    سپس میتواند پیامک دریافتی را نیز از طریق بات تلگرام دریافت کند.

    نهایتا فیشر میتواند در آرامش از کارت قربانی موجودی بگیرد و بعد مبلغی که بخواهد را تراکنش انجام دهد و رمزپویا را هم دریافت کرده و تراکنش را کامل کند.

    پایانی

    فیشینگ در ایران در حال حاضر بواسطه رمز دوم پویا بسیار کمتر شده است اما حالا فیشرها اقدام به تولید درگاه های بهتر و همینطور بدافزارهای موبایلی میکنند تا رمزدوم پویا را بدست بیاورند البته هیچ وقت نمیتوان بصورت ۱۰۰ درصد جلوی این نوع از فیشینگ را گرفت اما هنوز راهکارهای وجود دارد که بتوان امار را باز هم کمتر و کمتر کرد و قطعا بخش مهمی از این راهکارها اطلاع رسانی و افزایش آگاهی افراد در زمینه امنیت سایبری میباشد.

    معمولا این کمپین های فیشینگ هرکدام یک صفحه و اپلیکیشن ندارند و یک کدی که فردی نوشته است بصورت پکیج اماده فروخته میشود و افرادی فقط با خریدن این کدها و تغییر دادن بعضی متغیرها مثل ادرس سایت و ربات تلگرام و … و با تبلیغات یک فیشینگ برای خودشان راه می اندازند.

    نظر شما در مورد این مطلب چیست؟ نظرات خود را در پایین همین صفحه با ما در میان بگذارید.

    دیدگاه نیوز را در شبکه های اجتماعی دنبال کنید

    نویسنده: جواد دادگر
    منبع: ویرگول

    نوشته های مشابه

    دیدگاهتان را بنویسید

    نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *