در چند ماه گذشته، چندین شبکه و رسانه اجتماعی ایرانی هشدارهایی را در مورد کمپینهای SMS Phishing منتشر کردند که از خدمات دولت ایران تقلید میکردند. این داستان قدیمی است: قربانیان روی یک لینک مخرب کلیک میکنند، اطلاعات کارت بانکی خود را وارد میکنند و در عرض چند ساعت پولشان را از دست میدهند. نکتهی قابلتوجه در مورد این کمپینها مقیاس عظیم آنها است. تعداد بیسابقهای از قربانیان داستانهای مشابهی را در بخش نظرات سایتهای خبری و شبکههای اجتماعی در مورد خالی شدن حساب بانکی خود به اشتراک گذاشتند.
برخلاف حملاتی که درگذشته دیده میشد، مثلاً تروجان Flubot که با تزریق کد و نمایش صفحات Overlay دادههای حساس را از دستگاهها به سرقت میبرد، برنامههای کاربردی که در این تحقیق ارائه شدند برای فریب دادن قربانیان جهت گرفتن جزئیات کارتهای بانکی آنها، از مهندسی اجتماعی بهره میبرند. نحوهی انجام این حملات همیشه یکسان است. قربانیان یک SMS با ظاهری مشروع دریافت میکنند که لینکی به یک صفحهی فیشینگ دارد که خود را بهعنوان خدمات دولتی جا میزند و قربانیان را ترغیب میکند تا یک برنامه کاربردی اندروید مخرب را دانلود کرده و هزینهی اندکی را برای سرویس بپردازند. برنامه کاربردی مخرب نهتنها شمارههای کارت بانکی قربانی را جمعآوری میکند، بلکه همچنین به SMS احراز هویت دومرحلهای آنها نیز دسترسی پیدا کرده و دستگاه قربانی را تبدیل به یک Bot مینماید که قابلیت پخش کردن SMSهای فیشینگ مشابهی را به قربانیان دیگر دارد. شواهد فنی و گزارشات عمومی نشان میدهد که دهها هزار قربانی تحت تأثیر این موضوع قرار گرفتند و میلیاردها ریال پول به سرقت رفته است که به عدد ۱۰۰۰ تا ۲۰۰۰ دلار به ازای هر قربانی میرسد.
در این مقاله جزئیات فنی در مورد نحوهی تشکیل شدن این کمپینها، مدل کسبوکار و نحوهی موفقیت آنها، باوجود استفاده از ابزار غیرپیچیده، ارائه میگردد. بهعلاوه بررسیها نشان میدهند که به دلیل سطح پایینِ OPSEC یا امنیت عملیاتی خود مهاجمین، دادههای قربانیان تحت حفاظت نیست و افراد دیگر میتوانند بهسادگی به آنها دسترسی پیدا کنند.
بااینکه میزان شیوع و خطر این کمپینها توجه رسانهها و پلیس سایبری ایران را به خود جلب کرده است، مهاجمین هنوز در حال پیشرفت هستند و برنامههای کاربردی مخرب و زیرساخت خود را بهصورت روزانه بروزرسانی میکنند.
زنجیرهی آلودگی
شکل ۱: زنجیرهی آلودگی
حمله با یک پیامک فیشینگ آغاز میشود. در بسیاری از مواقع، این SMS پیامی از طرف سیستم اطلاعرسانی الکترونیکی قضایی است که به قربانی اطلاع میدهد که شکایتی علیه وی ثبت شده است. جدی بودن این مسئله میتواند توضیح دهد که چرا این کمپین تا این حد شیوع پیدا کرده است. وقتیکه پیامی رسمی از دولت دریافت شود، اکثر شهروندان بدون فکر روی لینک کلیک میکنند.
شکل ۲: مثالهایی از پیامکهای فیشینگ که به شهروندان ایرانی ارسال شده است
طبق گزارش چندین کاربر توییتر، این SMS حاوی یک اطلاعرسانی جعلی از قوهی قضاییه در مورد یک شکایت جدید است که پیشنهاد میکند برای دیدن شکایت روی لینک کلیک شود. لینک موجود در SMS کاربر را به یک سایت فیشینگ میبرد که معمولاً شبیه به یک سایت رسمی دولتی است. به کاربر اطلاع داده میشود که شکایتی علیه وی ثبت شده است و از او درخواست میشود که اطلاعات شخصی خود را وارد کند تا بتواند وارد سیستم الکترونیکی شود و به دلیل محدودیتهای مربوط به کووید از رجوع به شعبه خودداری کند.
شکل ۳: سایت فیشینگ به قربانی اطلاع میدهد که شکایتی علیه وی ثبت شده است (سمت چپ) و از وی میخواهد که اطلاعات شخصی خود مثل نام، شماره تلفن و کد ملی را وارد کند تا وارد یک سیستم الکترونیکی جعلی شود
پس از وارد کردن اطلاعات شخصی، قربانی به صفحهای هدایت میشود که در آن باید یک فایل apk. مخرب را دانلود کند. وقتیکه برنامه کاربردی اندروید نصب شود، یک صفحهی لاگین جعلی از سرویس احراز هویت سامانهی ثنا یا سامانه الکترونیکی ابلاغ قضایی را نشان میدهد که شمارهی تلفن همراه و شمارهی ملی کاربر را درخواست میکند. این سامانه همچنین به قربانی اطلاع میدهد که باید برای ادامه دادن هزینهای را پرداخت نماید. این هزینه خیلی کم است (حدود بیست یا گاهی اوقات پنجاه هزار ریال) و همین مسئله شبهات را کاهش میدهد و باعث میشود که این عملیات قانونی و مشروع به نظر برسد.
شکل ۴: صفحهی احراز هویت جعلی (سمت چپ) و صفحهی فیشینگ که جزئیات کارت بانکی را جمعآوری میکند (سمت راست)
پس از وارد کردن جزئیات، کاربر به یک صفحهی پرداخت هدایت میشود. مثل اکثر صفحات فیشینگ، پس از اینکه اطلاعات کارت بانکی وارد شد، سایت «خطا در پرداخت» را نمایش میدهد، اما پول از حساب کم میشود. البته مجموع بیستهزار ریالها، هدف نهایی نیست. مهاجم اطلاعات کارت قربانی را دارد و برنامه کاربردی اندروید، همان Backdoorی که هنوز روی دستگاه قربانی نصب است، باعث میشود که هروقت عبور از احراز هویت دو مرحلهای یا اعتبارسنجی اضافی از سوی شرکت کارت اعتباری مورد نیاز باشد، سرقت مجدد ممکن شود.
این قابلیتهای Backdoor در اندروید شامل موارد زیر است:
- سرقت SMS: بلافاصله بعد از نصب برنامهی کاربردی جعلی، تمام پیامهای SMS قربانیان در سرور مهاجم آپلود میشوند.
- مخفی شدن برای تداوم ماندگاری: پس از ارسال شدن اطلاعات کارت بانکی به عامل تهدید، برنامه کاربردی میتواند آیکون خود را مخفی کند تا کنترل کردن یا حذف آن برای قربانی دشوار شود.
- عبور از احراز هویت دومرحلهای: داشتن دسترسی به جزئیات کارت بانکی و SMS روی دستگاه کاربر به مهاجمین این توانایی را میدهد که با سواستفاده از احراز هویت دومرحلهای (رمز عبور پویا) وجوهی را بهصورت غیرمجاز از حسابهای بانکی قربانیان برداشت کنند.
- قابلیتهای Botnet: بدافزار میتواند از طریق FCM یا Firebase Cloud Messaging با سرور C&C ارتباط برقرار کند که این کار به مهاجم توانایی اجرای دستورات اضافی، مثل سرقت مخاطبین یا ارسال پیامهای SMS را روی دستگاه قربانی میدهد.
- امکانات مربوط به Worm: برنامهی کاربردی میتواند با استفاده از یک پیام سفارشی و فهرستی از شماره تلفنهایی که از سرور C&C دریافت میشوند، پیامهای SMS را به فهرستی از قربانیان ارسال کند. این کار به عاملان تهدید این توانایی را میدهد که پیامهای فیشینگ را از شماره تلفنهای کاربران عادی ارسال کند، نه از یک مکان متمرکز و بدینصورت به مجموعهی کوچکی از شماره تلفنها که بهراحتی مسدود میشوند، محدود نخواهد بود. این یعنی از نظر فنی، هیچ شمارهی مخربی وجود ندارد که بتوان از طریق شرکتهای مخابراتی آنها را مسدود کرده یا به سوی مهاجم ردیابی نمود.
تجزیهوتحلیل فنی با جزئیات بیشتری نشان میدهد که این ویژگیهای Backdoor چطور اعمال میگردند. در قسمت دوم مطلب، به بررسی فنی این عملیات فیشینگ میپردازیم.