به گزارش کارگروه بینالملل سایبربان؛ آژانس اطلاعات داخلی آلمان نسبت به حملات فیشینگ مشکوک عوامل تهدید تحت حمایت دولت به افراد عالی رتبه از طریق برنامههای پیامرسان مانند سیگنال هشدار داد.
این حملات، مهندسی اجتماعی را با ویژگیهای قانونی ترکیب میکنند تا اطلاعات سیاستمداران، افسران نظامی، دیپلماتها و روزنامهنگاران تحقیقی را در آلمان و سراسر اروپا سرقت کنند.
این هشدار امنیتی بر اساس اطلاعات جمعآوریشده توسط دفتر فدرال حفاظت از قانون اساسی (BfV) و دفتر فدرال امنیت اطلاعات (BSI) تهیه شده است.
این دو آژانس اعلام کردند:
«یکی از ویژگیهای بارز این کمپین حمله این است که از هیچ بدافزاری استفاده و از آسیبپذیریهای فنی در سرویسهای پیامرسان سوءاستفاده نمیشود. مهاجمان مستقیماً با هدف تماس میگیرند و وانمود میکنند که از تیم پشتیبانی سرویس پیامرسان یا ربات چت پشتیبانی هستند. هدف دسترسی مخفیانه به چتهای یک به یک و گروهی و همچنین فهرست مخاطبین افراد آسیبدیده است.»
دو نسخه از این حملات وجود دارد: یکی که تصاحب کامل حساب را انجام میدهد و دیگری که حساب را با دستگاه مهاجم جفت میکند تا فعالیت چت را رصد کند.
در نوع اول، مهاجمان خود را به جای سرویس پشتیبانی سیگنال جا میزنند و یک هشدار امنیتی جعلی ارسال میکنند تا حس فوریت ایجاد کنند.
سپس هدف فریب داده میشود تا پین سیگنال یا کد تأیید پیامکی خود را به اشتراک بگذارد، که به مهاجمان اجازه میدهد حساب را در دستگاهی ثبت کنند که کنترل میکنند. سپس حساب را میدزدند و قربانی را قفل میکنند.
در حالت دوم، مهاجم از یک ترفند قابل قبول برای متقاعد کردن هدف به اسکن یک کد QR استفاده میکند. این از ویژگی قانونی دستگاه متصل سیگنال سوءاستفاده میکند که امکان اضافه کردن حساب به چندین دستگاه (رایانه، تبلت، تلفن) را فراهم میکند.
نتیجه این است که حساب قربانی با دستگاهی که توسط عامل بد کنترل میشود، جفت میشود و او بدون هیچ گونه علامتی به چتها و مخاطبین دسترسی پیدا میکند.
اگرچه سیگنال تمام دستگاههای متصل به حساب را در قسمت تنظیمات > دستگاههای متصل فهرست میکند، اما کاربران به ندرت آن را بررسی میکنند.
درحالیکه چنین حملاتی در سیگنال مشاهده شده، مقامات آلمان هشدار دادند که واتساپ نیز از عملکرد مشابهی پشتیبانی میکند و میتواند به همان روش مورد سوءاستفاده قرار گیرد.
سال گذشته، محققان تهدید گوگل ادعا کردند که تکنیک جفتسازی کد QR توسط گروههای تهدید وابسته به دولت روسیه مانند «Sandworm» به کار گرفته شده است.
تیم واکنش اضطراری رایانهای اوکراین (CERT-UA) نیز حملات مشابهی را به هکرهای روسی نسبت داد که حسابهای واتساپ را هدف قرار میدادند.
با این حال، چندین عامل تهدید، از جمله مجرمان سایبری، از آن زمان این تکنیک را در کمپینهایی مانند «GhostPairing» برای ربودن حسابها به منظور کلاهبرداری و تقلب به کار گرفتهاند.
مقامات آلمانی پیشنهاد کردند که کاربران از پاسخ دادن به پیامهای سیگنال از حسابهای پشتیبانی ادعایی خودداری کنند، زیرا این پلتفرم پیامرسان هرگز مستقیماً با کاربران تماس نمیگیرد.
در عوض، به گیرندگان این پیامها توصیه میشود که حسابها را مسدود کنند و گزارش دهند.
به عنوان یک اقدام امنیتی اضافی، کاربران سیگنال میتوانند گزینه «قفل ثبتنام» را در تنظیمات > حساب فعال کنند. پس از فعال شدن، سیگنال هر زمان که کسی سعی کند شماره تلفن شما را در برنامه ثبت کند، از شما پینی را که تنظیم کردهاید، درخواست میکند.
بدون پین کد، ثبت حساب سیگنال در دستگاه دیگر با شکست مواجه میشود. از آنجایی که این کد برای ثبت ضروری است، از دست دادن آن میتواند منجر به از دست دادن دسترسی به حساب شود.
همچنین اکیداً توصیه شده که کاربران مرتباً لیست دستگاههایی را که به حساب سیگنال شما دسترسی دارند، در قسمت تنظیمات → دستگاههای مرتبط بررسی و دستگاههای ناشناس را حذف کنند.
