تشریح حمله فیشینگ

از نوزدهم اکتبر مشتریان ما هدف حمله‌های فیشینگ شدیدی از طریق ایمیل و پیامک قرار گرفته‌اند. تیم شرکت Ledger سخت در تلاش است تا با این مهاجمان مقابله کرده و دوباره اعتماد را به جامعه کاربران ما برگرداند. در ادامه توضیحاتی درباره این حمله ارائه می‌شود.

1. ایمیل یا پیامک‌های مخرب

ابتدا یک ایمیل یا پیامک برای کاربر ارسال می‌شود. فرستنده، آدرس لجر را جعل می‌کند تا کاربر تصور کند این ایمیل توسط سایت Ledger ارسال شده که قطعاً اینطور نیست. در دنیای واقعی این اقدام نقض قانون نشان تجاری و در بیشتر کشورها جرم محسوب می‌شود.

هدف مهاجم این است که کاربر را تشویق به کلیک کردن روی لینک یک وبسایت مخرب کند که آدرسی شبیه به آدرس Ledger دارد. معمولاً این پیام طوری طراحی می‌شود که کاربر را سراسیمه کند تا بلافاصله اقدام مورد نظر را انجام داده و روی لینک کلیک کند در حالیکه بیشتر مواقع این اطلاعات نادرست و جعلی هستند.

در ادامه فهرستی از آدرس‌های مخرب ثبت شده توسط مهاجمان را مشاهده می‌کنید:

2. وبسایت یا اپلیکیشن مخرب

وقتی کاربر روی این لینک کلیک کند، وبسایت مخرب در مرورگر او باز می‌شود. ممکن است این وبسایت بسیار شبیه به سایت اصلی لجر باشد و نتوان تفاوت آن با سایت اصلی را تشخیص داد. قصد مهاجمان سرقت عبارت بازیابی (عبارت 24 کلمه‌ای) از قربانیان است و معمولاً برای رسیدن به این هدف از 2 روش استفاده می‌کنند. یک فرم یا به شکل مستقیم در وبسایت نمایش داده شده تا قربانی تشویق به وارد کردن عبارت یادآور شود یا لینک جعلی به اپلیکیشن لجر لایو ارائه می‌شود.

برای مثال در ادامه یک نمونه از درخواست عبارت یادآور توسط این وبسایت جعلی را مشاهده می‌کنید:

در این مورد بعد از نمایش دادن دو مرحله جعلی درباره تنظیم و راه‌اندازی اولیه دستگاه، از قربانی درخواست می‌شود که عبارت بازیابی را وارد کند:

در یک کمپین فیشینگ دیگر قربانیان فریب داده می‌شدند تا لینک http://malicious-domain.com/download.php را باز کنند (لینک اصلی در اینجا تغییر کرده تا کاربران وارد این سایت جعلی نشوند). سپس یک لینک دانلود برای کاربر نمایش داده می‌شد: http://malicious-domain [.] com/files/ledger-live-desktop-2.2.5-win.exe. این اپلیکیشن جعلی لجر لایو در اصل یک بدافزار است که کاربر را دعوت به تایپ کردن عبارت یادآورش می‌کند.

تحلیل این بدافزار نشان می‌دهد که وقتی قربانیان عبارت یادآور، رمز ورود و پین را وارد می‌کردند، این اطلاعات به سرورهای مهاجمان ارسال می‌شدند.

3. سرقت عبارت بازیابی (Recovery phrase)

وقتی قربانی عبارت بازیابی را وارد می‌کند، این اطلاعات برای مهاجمان ارسال می‌شوند. ممکن است عبارت بازیابی به سروری متفاوت با سرور میزبان سایت مخرب ارسال شوند و معمولاً مهاجمان از طریق تلگرام یا ایمیل پیامی دریافت می‌کنند که در آن به آنها اطلاع داده می‌شود عبارت بازیابی با موفقیت سرقت شده است.

4. سرقت دارایی‌ها

همین که قربانی، عبارت بازیابی 24 کلمه‌ای خودش را در اختیار مهاجمان قرار داد، آنها به کلیدهای خصوصی او دسترسی پیدا کرده و می‌توانند کار ارسال دارایی‌های او برای خودشان را انجام دهند. به این ترتیب کاربر برای همیشه موجودی خودش را از دست می‌دهد.

با توجه به نکات ذکر شده، باید این نکته برای شما روشن شده باشد که هرگز نباید این عبارت 24 کلمه‌ای را در اختیار کسی قرار دهید. حتی اگر به نظر برسد این درخواست از سمت خود لجر ارسال شده چون لجر هرگز چنین چیزی را از شما نمی‌خواهد.

لجر سعی می‌کند برای مقابله با این اقدامات مخرب این وبسایت را از دسترس خارج کند تا حداقل اگر کاربران فریب خورده و روی این لینک کلیک کردند، این وبسایت در مرورگر نمایش داده نشود.

در دنیای اینترنت، واسطه‌های زیادی وجود دارند از جمله مرورگرها، ثبت کننده‌های دامنه، DNS و غیره که هر یک از آنها یک نقش خاص داشته و کار خاصی را انجام می‌دهند.

لجر در حال پیگیری این موضوع و درخواست از این واسطه‌ها برای غیرفعال کردن وبسایت‌های غیرقانونی است و بعضی از این پیگیری‌ها موفقیت آمیز بوده‌اند.

در ادامه یک نمونه از این وبسایت‌ها را مشاهده می‌کند که فقط یک نقطه کوچک زیر حرف e آن قرار دارد.

ما به دو دلیل این گروه را تحت پیگرد قرار دادیم:

• فیشینگ برای کلاهبرداری از مشتریان ما که در صورت از دست رفتن دارایی‌های آنها سرقت محسوب می‌شود.
• اقدام مجرمانه با نقض قوانین کپی رایت و نشان تجاری و جعل هویت که منجر به سردرگمی و ایجاد ابهام در ذهن مشتریان ما شد.

همه این تلاش‌ها با این هدف صورت گرفته که قربانیان تصور کنند این سایت متعلق به لجر است.

کلاهبرداران از این روش ایجاد ابهام برای سرقت دارایی قربانیان استفاده کردند.

باز کردن یک دامنه جدید تنها با 3 کلیک قابل انجام است اما بستن آن حداقل 24 ساعت زمان می‌برد. این 24 ساعت در صورتی است که ما خوش شانس باشیم و بتوانیم با شرکت‌های ثبت کننده این دامنه‌ها همکاری کنیم. بعضی از این سایت‌های غیر قانونی تا چندین روز به فعالیت خودشان ادامه دادند.

شاید این سوال برای شما ایجاد شده باشد که چرا مستقیماً با کلاهبردارانی که سایت‌های ذکر شده را ثبت کرده‌اند، روبرو نشدیم؟ متاسفانه امکان انجام این کار وجود ندارد.

وقتی در حال تلاش برای شناسایی عوامل راه‌اندازی این سایت بودیم، با این اطلاعات روبرو شدیم:

ثبت کننده (یعنی مالک دامنه) Whoisguard است. Whoisguard یک سرویس حفاظت از حریم خصوصی است که مانع از مشاهده نام، آدرس، شماره تلفن و ایمیل شما توسط دیگران با استفاده از روش ستجوی Whois می‌شود.

اما آیا انجام این کار مجاز است؟ پاسخ این سوال مثبت است. می‌توانیم با شکایت قانونی از دادگاه درخواست کنیم حکمی صادر کند تا ثبت کننده این دامنه هویت مالک آن را مشخص کند. این کار کمی زمان می‌برد و قطعاً تا آن زمان مهاجمان 10 وبسایت دیگر ثبت کرده‌اند.

اما باید نیمه پر لیوان را دید. باز هم می‌توانیم از مرورگرها، ثبت کننده دامنه و ارائه دهنده سرویس هاستینگ درخواست کنیم که وبسایت‌های غیرقانونی را تعلیق کنند و رویه‌هایی برای انجام این کار داریم.

قابلیت وبگردی امن (Safe browsing) در بیشتر مرورگرهای مهم (مثل کروم، فایرفاکس و سافاری) وجود دارد و وقتی قرار باشد از سایت خطرناکی بازدید کنید که آلوده به بدافزار و فیشینگ بوده یا نرم‌افزارهایی ناخواسته روی دستگاه شما دانلود کند، به شما هشدار می‌دهد. وقتی روی یک لینک کلیک کنید، لینک بررسی می‌شود تا قبلاً در فهرست سایت‌های بدافزاری، نرم‌افزارهای مخرب و فیشینگ ثبت نشده باشد. اگر سایتی به عنوان یکی از سایت‌های مورد استفاده در حمله‌های سایبری ثبت شده باشد، به کاربران درباره این موضوع هشدار داده می‌شود.

کاربران می‌توانند از طریق این فرم وبسایت‌های فیشینگ و از طریق این صفحه نرم‌افزارهای مخرب را گزارش دهند. کاربران کروم هم می‌توانند از افزونه Suspicious Site Reporter استفاده کنند تا سایت‌های مخرب را با یک کلیک گزارش دهند.

برای مثال گزارش دادن وبسایت‌های فیشینگ از طریق  Google Safebrowsing به راحتی انجام می‌شود.

ما فعالانه در حال مقابله با این اقدامات هستیم و به شرکت ثبت کننده این دامنه‌ها هشدار دادیم که این موضوع فوق العاده مهم است. این شرکت نظارت فعالی بر این دامنه‌ها ندارد اما انتظار می‌رود که پس از اطلاع رسانی بلافاصله به موضوع رسیدگی کند.

کلاهبرداری‌های فیشینگ یکی از جرایم سایبری مهم هستند. اعضای جامعه لجر در صورت همکاری با یکدیگر موفق تر خواهند بود.

در صورت برخورد با کلاهبرداری، موضوع را با استفاده از این هشتگ به اطلاع اعضای جامعه برسانید: 

این مطلب توسط وبسایت Ledger.com نگارش شده است.