انتشار شده در تاریخ 1395/03/25 - 16:46

سوءاستفاده از اطلاعات لینکدین در حملات رایانامه‎ای

به گزارش واحد هک و نفوذ سایبربان؛ ماه گذشته، اطلاعات مرتبط با حساب بیش از ۱۰۰ میلیون کاربر وب‎گاه لیندکین در اینترنت افشا شد و در پی این اتفاق ناگوار، پویش‎های کلاهبردارانه‎ای برای سوءاستفاده از این اطلاعات به راه افتاده‎اند.

اطلاعات دزدیده‌شده که در آینده نزدیک سر از اینترنت تاریک درخواهند آورد، معمولاً برای ورود به‌حساب مورداستفاده واقع نمی‎شوند. این اطلاعات درراه‌های دیگری، مانند پخش کردن بدافزارها مورداستفاده قرار خواهند گرفت.

گروه پاسخ‌گویی حوادث رایانه‌ای کشور آلمان در توییتر در مورد رایانامه‌های مخربی که حاوی رسید‌های جعلی در حالت ورد بوده و دارای احوال‌پرسی شخصی و اطلاعات تجاری می‌باشند، هشدار داد. بنا به گفته این گروه، نام و موقعیت‎های شغلی تجاری عنوان‌شده در این رایانامه‎ها در ارتباط با افشای اطلاعات لینکدین گزارش‌شده است و اطلاعات آن‌ها شبیه اطلاعات کاربران لینکدین است.

بنا به گفته‎های یوهانس اولریچ، این رایانامه‎ها در زبان‌های مختلفی نوشته‌شده‌اند، اما نام کامل گیرنده، عنوان شغلی و نام شرکت در متن پیام موجود است. بنا به اعلام وی، اطلاعاتی که «سابقاً برای رابطان برنامه‌نویسی نرم‌افزارها به‌راحتی در دسترس نبود»، بعد از افشای اطلاعات لینکدین به‌راحتی در دسترس عموم قرارگرفته است و نفوذگران نیز به همین دلیل به‌راحتی می‌توانند رایانامه‌های به‌ظاهر درست و پذیرفتنی را نوشته و از این طریق شانس بالایی برای انجام حملات و نفوذهای خود داشته باشند.

شرکت امنیتی Fox IT نیز خبر از مشاهده رایانامه‌های مخربی داده است که برای کاربرانی در هلند ارسال‌شده است. متن این رایانامه‌ها هم در خود رایانامه و هم در پرونده ورد پیوست، به زبان هلندی نوشته‌شده است. این رایانامه‌ها در تاریخ هفتم ژوئن، در مقیاس و اندازه‌های بالایی ارسال‌شده‌اند و در آن‌ها، نام کوچک، نام خانوادگی، پست شغلی و نام شرکت گیرنده مشاهده می‌شود که این اطلاعات به‌ظاهر از صفحه حساب شخصی گیرندگان در لینکدین به سرقت رفته است.

نام پرونده ورد پیوست شده به این رایانامه‌های گول‌زننده نیز برحسب اطلاعات شخصی گیرنده رایانامه تنظیم‌شده است.

نفوذگران در پرونده ورد پیوست شده، ماکروهایی را قرار داده‌اند و محتوای پرونده را به‌هم‌ریخته‌اند. به هم ریختن محتوای پرونده به این منظور انجام‌شده است که کاربران با فعال کردن ماکروها، متن و محتوای نامه را به حالت درست برگردانند. ماکرو در این شرایط یک سامانه دوتایی محاسبه را از وب‌گاه‌های موردحمله واقع‌شده دریافت می‌کند. محققان حوزه امنیت این سامانه را بدافزار حسابداری Zeus Panda نامیده‌اند.

این بدافزار حسابداری که در آوریل جزئیات بیشتری از آن توسط شرکت ProofPoint اعلام شد، نام دیگری با عنوان Panda Banker نیز دارد. این بدافزار برای اولین بار توسط شرکت Fox IT مشاهده‌شده است و دارای کدهایی از بدافزار مخرب حسابداری Zeus است. طراحان Panda Banker از سامانه نام دامنه باقابلیت تغییر سریع (Fast Flux DNS) برای محافظت از اقدامات خود استفاده می‌کنند. سامانه نام دامنه باقابلیت تغییر سریع روشی است که قبلاً نیز توسط Zeus استفاده‌شده است. بعد از افشای کد اصلی این روش، چند بدافزار حسابداری دیگر نیز بعد از Zeus ساخته شدند.

ازآنجایی‌که واقعه افشای اطلاعات لینکدین یکی از بزرگ‌ترین دستبردهای اطلاعاتی است، بسیاری از روزنامه‌ها طی هفته‌های گذشته آن را تبدیل به تیتر یک خود کردند. این اتفاق می‌تواند باعث ظهور پویش‌های کلاهبردارانه مشابه نیز بشود. کاربران Myspace،Tumbler،VK و همچنین توییتر ممکن است هدف‌های بعدی این رایانامه‌های مخرب باشند.