دور زدن تأیید هویت برای سرقت اطلاعات

به گزارش کارگروه امنیت سایبربان؛ مجرمان سایبری برای مخفی کردن بدافزاری خاص با هدف دزدیدن اطلاعات بانکی افراد، از کد ReCAPTCHA تقلبی شبیه به ابزار گوگل استفاده کردند.

 محققان امنیتی در گزارشی ادعا کردند که یک کمپین کلاهبرداری اینترنتی جدید (فیشینگ)، با ظاهری شبیه به ابزار گوگل، کاربران سرویس‌های بانکی را هدف قرار داده است. هدف از آن کمپین، دزدیدن اطلاعات بانکی افراد عنوان شد.

مؤسسه‌ی تحقیقات امنیتی سایبری Sucuri در گزارش خود ادعا کرد که حمله‌ی جدید مجرمان سایبری، علیه یک بانک لهستانی و کاربران آن انجام شد و ظاهری شبیه به Google ReCAPTCHA داشت. روش‌هایی برای افزایش نگرانی و ترس در میان کاربران نیز استفاده شد تا آن‌ها مجبور به کلیک کردن روی لینک‌های مخرب شوند. لینک‌ها عموماً ازطریق ایمیل برای قربانیان ارسال می‌شد.

ایمیل‌های مخربی که با هدف دزدیدن اطلاعات به قربانیان ارسال شد، در ظاهر برای تأیید یکی از آخرین تراکنش‌های بانکی آن‌ها بود. به‌علاوه، لینکی به یک فایل مخرب PHP نیز در آن ایمیل‌ها گنجانده شده بود. در ایمیل‌های مذکور، از قربانیان خواسته می‌شد تا برای تأیید یک تراکنش (ساختگی) روی لینکی کلیک کنند که قطعاً مقصدی مخرب داشت.

روش جمله‌ی مجرمان سایبری که در بالا توضیح داده شد، روش جدیدی نیست. منتهی، مرحله‌ی بعدی حمله‌ی جدید، کمی غیرمعمول و جدید به نظر می‌رسد. اگر قربانی متوجه تقلبی بودن لینک موجود در ایمیل نشود و روی آن کلیک کند، برخلاف حملات مرسوم، به صفحه‌ی تقلبی از بانک مقصد هدایت نخواهد شد. در عوض،‌ یک صفحه‌ی ۴۰۴ تقلبی توسط آن فایل مخرب PHP بارگذاری می‌شود.

صفحه‌ی مخرب مورد استفاده توسط مجرمان، تعدادی عامل کاربر مشخص دارد که به ربات‌های خزنده‌ی گوگل محدود هستند. به‌بیان‌دیگر، اگر درخواست به آن صفحه، از طرف ربات‌های گوگل نباشد، اسکریپت PHP یک ابزار تقلبی ری‌کپچا گوگل متشکل از کدهای جاوا اسکریپت و HTML بارگذاری می‌کند. محققان در توضیح آن صفحه‌ی مخرب می‌گویند.

صفحه‌‌ی مخرب، به‌خوبی ظاهر گوگل ریکپچا را کپی می‌کند، اما ازآنجایی‌که به المان‌های استاتیک وابسته است، تصاویر آن ثابت خواهند بود؛ مگر اینکه کد صفحه‌ی مخرب، تغییر کند. به‌علاوه، کد مخرب برخلاف نسخه‌ی واقعی، قابلیت پخش صوتی ReCAPTCHA را ندارد.

عامل مرورگر در ادامه‌ی فعالیت خود،‌ مسیر کاربر پیش از وارد شدن به صفحه را موردبررسی قرار می‌داد. پس از شناسایی آن مسیر، یک فایل zip. به کاربر ارائه می‌شود یا اگر مرور در سیستم‌عامل اندروید باشد، فایل مخرب APK. در دستگاه او بارگذاری خواهد شد.

نمونه‌هایی از بدافزار مورد استفاده در آن حمله، در سرویس VirusTotal بارگذاری شده‌اند. نسخه‌ی اندرویدی بدافزار، به‌وفور در اینترنت یافت می‌شود و قابلیت خواندن وضعیت، موقعیت و مخاطبان دستگاه هوشمند را دارد. به‌علاوه آن بدافزار می‌تواند پیامک‌های قربانی را بخواند و همچنین پیام ارسال کند. از قابلیت‌های دیگر آن می‌توان به برقراری تماس،‌ ضبط صدا و دزدیدن اطلاعات حساس دیگر اشاره کرد. تروجان مذکور با نام‌هایی همچون Banker, BankBot, Evo-gen و Artmeis یا نام‌های مشابه، توسط نرم‌افزارهای آنتی‌ویروس شناخته می‌شود.

در نمونه‌ای دیگر از بدافرارهای موبایل، در ابتدای سال جاری میلادی، محققان مؤسسه‌ی Trend Micro، یک کمپین نفوذ مرتبط با تروجان بانکی Anubis کشف کردند. تیم تحقیقاتی، ۲ اپلیکیشن در گوگل پلی استور پیدا کردند که میزبان آن بدافزار بودند. یکی از اپلیکیشن‌ها مبدل ارز و دیگری، ابزاری برای بهبود مصرف انرژی بود. تروجان مذکور، به‌محض جابه‌جایی دستگاه کاربر، عملیات خود را شروع می‌کرد. مجرمان سایبری در تروجان فوق از حسگرهای حرکتی استفاده کرده بودند تا کشف شدن توسط محققان در فضاهای آزمایشی Sandbox را تقریباً غیرممکن کنند.