Nariman Gharib ——

🚨 Major Data Breach at Iran's Largest Mobile Operator (MCI) Exposes 30 Million Customers' Personal Information

هک اطلاعات ۳۰ میلیون مشترک در بزرگترین اپراتور تلفن همراه ایران (همراه اول) 🚨

تحقیقات ما تأیید می‌کند که اطلاعات مشتریان شرکت ارتباطات سیار ایران (همراه اول) در یک حمله سایبری قابل توجه به خطر افتاده است. این نقض امنیتی حدود ۳۰ میلیون مشترک منحصر به فرد و ۶۱ میلیون شماره تلفن را تحت تأثیر قرار داده است.

از طریق ارتباط مستقیم با عاملان این حمله، ما صحت این نقض امنیتی را با درخواست و دریافت نمونه‌های داده خاص تأیید کرده‌ایم. پایگاه داده به خطر افتاده که بر روی فناوری Oracle اجرا می‌شود، اصلاً رمزگذاری نشده بود.

اطلاعات بیشتر در :
https://blog.narimangharib.com/posts/2025%2F04%2F1744661548227?lang=fa

#همراه_اول #نشت_داده #حمله_سایبری
@NarimanGharib

در روزهای اخیر، هکرهای وابسته به جمهوری اسلامی بار دیگر فعالیت‌های خود را شدت بخشیده‌اند. در یکی از این موارد، آن‌ها با جعل هویت کمیته حفاظت از روزنامه‌نگاران (CPJ) تلاش کردند تا یک خبرنگار ایرانی را هدف حمله فیشینگ قرار دهند، اما در نهایت این حمله ناکام ماند.

In recent days, hackers affiliated with the Islamic Republic have ramped up their operations. In one case, they attempted to carry out a phishing attack against an Iranian journalist by impersonating the Committee to Protect Journalists (CPJ). Fortunately, the attack was unsuccessful.

@NarimanGharib

گزارش جدیدی در مورد تهدیدات سایبری جمهوری اسلامی در ThreatBook منتشر شده. گروه APT34 (تحت حمایت جمهوری اسلامی) کمپین جدیدی را علیه نهادهای دولتی عراق راه انداخته است.

این گروه از سال ۲۰۱۲ فعال بوده و عمدتاً در خاورمیانه با استفاده از حملات فیشینگ هدفمند، به جمع‌آوری اطلاعات با ارزش و کنترل از راه دور سیستم‌ها می‌پردازد. صنایع مورد هدف آنها شامل دولت، انرژی، مالی، مخابرات، هوانوردی، دفاع ملی، آموزش و صنایع شیمیایی است.

آنها از فایل‌های PDF حاوی بدافزار که به عنوان فایل‌های مرتبط با حقوق و دستمزد است، برای فریب قربانیان استفاده می‌کنند. وقتی فایل اجرا می‌شود، یک بکدور نصب می‌شود که قادر به جمع‌آوری اطلاعات سیستم، اجرای دستورات از راه دور، آپلود و دانلود فایل‌ها و ایجاد پایداری در سیستم از طریق رجیستری است.

برای مخفی ماندن، این گروه هم از پروتکل HTTP و هم از ارتباطات ایمیلی با استفاده از صندوق‌های پستی دولتی هک‌شده عراقی استفاده می‌کند. همچنین سرورهای C2 خود را در کشورهای اروپایی مستقر کرده و صفحات ۴۰۴ جعلی برای پنهان کردن فعالیت‌های خود ایجاد می‌کنند.

برای اطلاعات بیشتر می‌توانید گزارش کامل را در لینک‌های زیر مطالعه کنید:
https://threatbook.io/blog/id/1101
https://threatbook.io/ip/89.46.233.239

#APT34 #OilRig

@NarimanGharb

هم‌میهنان گرامی و دوستان عزیز،

سال پرفرازونشیبی را پشت سر گذاشتید؛ سالی که در ادامهٔ چالش‌های چندین ساله، همچنان برای کسب حقوقتان جنگیدید و حتی زندان را به جان خریدید. معلمان، کارگران و بازنشستگان در کوچه‌پس‌کوچه‌های ایران تلاش کردند صدای خود را به گوش حاکمان برسانند: این‌که سوریه، یمن و حزب‌الله اولویت ندارد، بلکه مردم ایران مقدم‌اند. در این سال، بسیاری از همراهان توییتری، سیاسی و عاشقان میهن را از دست دادیم. اما اکنون از شمال تا جنوب و از شرق تا غرب کشور، خواسته‌ای مشترک در میان مردم شکل گرفته است: سرنگونی رژیم جمهوری اسلامی، چرا که برای بسیاری، کارد به استخوان رسیده است.

وقتی در برابر زن و فرزندمان مجبوریم سر را پایین بیندازیم یا زمانی که کودکمان از ما لباس یا دوچرخهٔ نو می‌خواهد و ما از تأمین آن ناتوانیم، دیگر این چه زندگی‌ای است؟ چهار دهه است که بر همهٔ ما زور گفته‌اند، و اکنون هرکسی در هر گوشهٔ جهان تلاش می‌کند، با هر نفوذ و قدرتی که دارد، یک: صدای مردم ایران باشد و دو: در راه سرنگونی این رژیم یاری برساند. اگر کسی غیر از این عمل می‌کند و به بحث و حاشیه می‌پردازد، قلبش با وطن نیست.

از صمیم قلب، فرارسیدن نوروز و سال نو را به همهٔ شما شادباش می‌گویم و سپاسگزارم که با وجود محدودیت‌ها همچنان در این کانال تلگرام حضور دارید.

پیروز و سربلند باشید
نریمان غریب

پس از این حمله سایبری، گروه لب‌دوختگان اطلاعات ویژه‌ای را در اختیار خبرنگاران و محققان امنیتی قرار داده است. می‌توانید فهرست کشتی‌های ایرانی را که در حال حاضر با اختلال در ارتباطات ماهواره‌ای مواجه شده‌اند، را اینجا برای اولین بار مشاهده کنید.

@NarimanGharib

حمله سایبری گسترده به شبکه ارتباطی ناوگان دریایی ایران

🔴 شب گذشته، گروه «لب‌دوختگان» موفق شد شبکه ارتباطی دو شرکت کشتیرانی بزرگ ایران را که تحت تحریم‌های آمریکا، بریتانیا و اتحادیه اروپا قرار دارند، فلج کند. در این عملیات، ارتباطات ۱۱۶ کشتی متعلق به شرکت ملی نفت‌کش ایران (NITC) و شرکت کشتیرانی جمهوری اسلامی ایران (IRISL) مورد هدف قرار گرفت. این شرکت‌ها در ارسال محموله‌های تسلیحاتی به حوثی‌های یمن نقش دارند.

📡 در نتیجه این حمله، از بامداد امروز پرسنل این کشتی‌ها قادر به ارتباط با یکدیگر نبوده و اتصال آنها با بنادر و جهان خارج قطع شده است. پیش‌بینی می‌شود که بازگرداندن کامل این ارتباطات چندین هفته زمان ببرد و در حال حاضر تنها برخی روش‌های محدود ارتباطی در دسترس باشد.

بررسی‌های فنی نشان می‌دهد که هکرها توانسته‌اند به سامانه‌های ارتباط ماهواره‌ای این شرکت‌ها نفوذ کنند و با دسترسی به سرورهای آنها، از طریق اجرای دستورات مخرب، ذخیره‌سازهای اطلاعات را از کار بیندازند و اطلاعات را نابود کنند. این عملیات یکی از بزرگ‌ترین حملات سایبری علیه زیرساخت‌های دریایی ایران محسوب می‌شود.

@NarimanGharib

از ژانویه امسال، گروه هکری دارک‌بیت (Storm-1084)، که توسط حسین فرد سیاهپوش، معروف به پارسا صرافیان از آوای هوشمند راوین (آکادمی راوین) در ایران هدایت می‌شود، چندین حمله سایبری علیه کالج میوْخار (Mivchar College)، یک مؤسسه آموزش عالی در اسرائیل، انجام داده است. در حال حاضر، اطلاعات و شاخص‌های مرتبط با این حملات (IoCs) میان شرکت‌های فناوری در حال تبادل است.

کالج میوْخار در سال ۲۰۰۰ توسط دکتر خاخام آبراهام فورس تأسیس شد. این مؤسسه با همکاری دانشگاه‌های برجسته‌ای مانند دانشگاه حیفا، مؤسسه فناوری تخنیون، و کالج فناوری اورشلیم (JCT)، برنامه‌های دانشگاهی متنوعی از جمله مددکاری اجتماعی، نقشه‌برداری و اطلاعات جغرافیایی، و علوم کامپیوتر ارائه می‌دهد.

-594c32f87323aafe857b72feb54639ea8ee1b12ab2bc8a52964911805cf93fb5
-b29b46e8ce76f8d8065455c205c82184a30f1fe0f2e8e2e224add2b02f2b4019
-3e6857907931eacc843a593d8fddccbb7660b0cc253b78e163cb3e854df72a89
-5b0f412e997b8826e06daee46b8778a97ffa40f4a2327d321e19744503ac73b5
-a5eb836e76c00b610509f4e8a18bd3bd7efe3db33b2711be5838c9fa455a05be

@NarimanGharib

اگر در چند روز اخیر ایمیلی دریافت کردید که حاوی یک فایل PDF پیوست شده بود و مشابه تصویر نمونه به نظر می‌رسید، باید احتیاط کنید. کلیک روی آیکون گوگل درایو داخل این فایل، شما را به یک سایت فیشینگ هدایت می‌کند که توسط هکرهای وابسته به جمهوری اسلامی برای سرقت اطلاعات حساب جیمیل طراحی شده است. در ادامه، شاخص‌های مرتبط با این حمله (IoCs) را منتشر کرده‌ام:

hjrd49gj40s32ttu597f9q7udoi49dh29ahqifaaws8u22q[.]site
drives[.]googles[.]com-id-sddsdssd[.]fu58di30d8u8u2t976kg90i4fuj48duy7398wa73ahfd398a3suhyu456eh2q[.]site
hjrd49gj4dh54sj28917eryfg8ajudoi49dh29ahqifaaws8u22q[.]site
drives[.]googles[.]com[.]hjrd49gj4dh54sj28917eryfg8ajudoi49dh29ahqifaaws8u22q[.]site
accent-going-session[.]bond
cheking-panel[.]site
cheking-panel-step[.]site
human-queer-write[.]cyou
forward-goal-inner[.]digital
join-room-host[.]site

@NarimanGharib

اگر در چند روز گذشته چنین پیامی دریافت کرده‌اید، این اقدام از سوی هکرهای سپاه پاسداران انجام شده است. آنها با استفاده از آدرس جدید (hxxps://spam-telegram[.]org) سعی دارند حساب تلگرام فعالان حقوق بشر و روزنامه‌نگاران را هک کنند. در لینک زیر، نحوه عملکرد این حمله فیشینگ را به‌طور خلاصه توضیح داده‌ام:

https://TelegramAware.com/

@NarimanGharib

بر اساس گزارش منتشر شده، یک حمله سایبری با منشأ ایرانی به شبکه درمانگاهی Bikuropa اسراییل صورت گرفته است. این شبکه درمانگاهی خدمات خود را به بیمه‌های سلامت و همچنین ارتش اسرائیل (IDF) ارائه می‌دهد و سربازان برای درخواست مرخصی استعلاجی از جمله به این مراکز مراجعه می‌کنند.

اداره ملی سایبری اسرائیل و تیم امنیت اطلاعات شبکه بیکوروپا در حال بررسی این حادثه هستند که در اوایل این هفته رخ داده است. آنها در حال بررسی احتمال نشت اطلاعات و ماهیت آن هستند، اما در این مرحله برای تعیین دقیق وضعیت خیلی زود است. با این حال، تمامی طرف‌ها از جمله وزارت بهداشت اسرائیل خود را برای هر سناریویی آماده می‌کنند.

شرکت Bikrofa اعلام کرده است: «در اوایل این هفته، شرکت نشانه‌هایی از یک حادثه سایبری که توسط مهاجمان ایرانی انجام شده بود را شناسایی کرد. این کشف در مرحله اولیه انجام شد. شرکت بلافاصله اقدامات مهارکننده از جمله قطع پیشگیرانه شبکه سازمانی را برای کاهش خطرات و حفظ امنیت اطلاعات انجام داد. تاکنون هیچ نشانه‌ای از نشت اطلاعات محرمانه یا مهم کشف نشده است.»

شبکه کلینیک‌های بیکوروپا سالانه به بیش از یک میلیون بیمار خدمات ارائه می‌دهد و همچنین با ارتش اسرائیل همکاری می‌کند.

@NarimanGharib
https://www.ynet.co.il/health/article/sksvprdoke

بر اساس گزارش‌های منتشر شده، وزارت خزانه‌داری ایالات متحده بهروز پاسارداد (با نام‌های مستعار بهروز پائین‌شهری و بهروز پارسا)، شهروند ایرانی را به دلیل مدیریت بازار دارک وب «نمسیس» تحریم کرده است. طبق اطلاعات منتشر شده، پاسارداد متولد ۲ جولای ۱۹۸۸ و ساکن تهران - خیابان توحید، خیابان شهید بختیاری، بهار، پلاک ۸، شماره ۱۸ است.

این بازار دارک وب که در سال ۲۰۲۴ توسط عملیات مشترک نیروهای امنیتی آمریکا، آلمان و لیتوانی مسدود شد، بستری برای فروش مواد مخدر، خدمات هک و اسناد جعلی بوده است. طبق اعلام خزانه‌داری آمریکا، پاسارداد مدیر اصلی و تنها گرداننده این بازار بوده که بیش از ۳۰،۰۰۰ کاربر فعال و ۱،۰۰۰ فروشنده داشته و در فاصله سال‌های ۲۰۲۱ تا ۲۰۲۴ نزدیک به ۳۰ میلیون دلار مواد مخدر از جمله فنتانیل در سراسر جهان به فروش رسانده است.

پاسارداد از طریق ایمیل‌های متعددی از جمله hernes[at]tutanota[dot]com، m3vda[at]protonmail[dot]com، lazyyytrader[at]gmail[dot]com و چند آدرس ایمیل دیگر، و همچنین شماره‌های تلفن 989190900020، 989330219108 و 989334445690 با مشتریان و فروشندگان در ارتباط بوده است. شماره پاسپورت او M56769976 ذکر شده است. این تحریم‌ها شامل شناسایی ۴۹ آدرس ارز دیجیتال متعلق به پاسارداد می‌شود که برای پولشویی و ذخیره درآمدهای حاصل از فعالیت‌های غیرقانونی استفاده می‌شده است.

مقامات آمریکایی اعلام کرده‌اند که پاسارداد از طریق اخذ کارمزد از تراکنش‌های صورت گرفته در بازار نمسیس، میلیون‌ها دلار درآمد کسب کرده و همچنین در پولشویی ارزهای دیجیتال برای قاچاقچیان مواد مخدر و مجرمان سایبری فعال بوده است. پس از مسدود شدن این پلتفرم در مارس ۲۰۲۴، بر اساس گزارش‌ها، پاسارداد در تلاش برای راه‌اندازی بازار دارک وب جدیدی با همکاری فروشندگان سابق نمسیس بوده است.

این تحریم‌ها بر اساس فرمان اجرایی ۱۴۰۵۹ صورت گرفته که گسترش‌دهندگان مواد مخدر و ابزارهای تولید آن‌ها را هدف قرار می‌دهد. اقدام دیروز، اولین عملیات دفتر کنترل دارایی‌های خارجی (OFAC) وزارت خزانه‌داری آمریکا به عنوان عضوی از تیم مشترک مبارزه با مواد مخدر و دارک وب (JCODE) به رهبری اف‌بی‌آی است.

https://home.treasury.gov/news/press-releases/sb0040
@NarimanGharib

بر اساس گزارشی که دیروز توسط پروف‌پوینت منتشر شده، گروهی از هکرهای مرتبط با سپاه پاسداران (به نام UNK_CraftyCamel) در اواخر اکتبر ۲۰۲۴ اقدام به حمله‌ای هدفمند علیه بخش هوانوردی و ارتباطات ماهواره‌ای امارات متحده عربی کرده‌اند.

هکرها با نفوذ به حساب ایمیل یک شرکت الکترونیکی هندی به نام INDIC Electronics، پیام‌های فیشینگ برای کمتر از پنج سازمان در امارات ارسال کرده‌اند. مهاجمان با سوءاستفاده از اعتماد که میان این شرکت و قربانیان وجود داشته، توانسته‌اند پیام‌های سفارشی‌شده برای هر هدف ارسال کنند. این پیام‌ها حاوی لینک‌هایی به دامنه جعلی indicelectronics[.]net بوده که فایل‌های مخرب را منتقل می‌کرده است. آدرس IP استفاده شده 46.30.190[.]96 بوده و متعلق به سرویس میزبانی CrownCloud است.

فایل‌های ارسالی شامل یک فایل ZIP حاوی یک فایل XLS (که در واقع یک فایل LNK با پسوند دوگانه بوده) و دو فایل PDF بوده‌اند. این فایل‌های PDF در واقع polyglot (چندگانه) بوده‌اند - یکی PDF با HTA و دیگری PDF با ZIP. فایل LNK ابتدا cmd.exe را اجرا کرده و سپس با mshta.exe فایل PDF/HTA را اجرا می‌کند. در نهایت، این زنجیره به نصب یک بک‌دور (درب پشتی) به نام Sosano منجر شده که با زبان Go نوشته شده است. این بدافزار با سرور C2 در آدرس bokhoreshonline[.]com (با IP 104.238.57[.]61) ارتباط برقرار می‌کند. این بدافزار می‌توانسته دستوراتی مانند دریافت اطلاعات دایرکتوری‌ها، اجرای دستورات شل، و دانلود و اجرای فایل‌های دیگر را انجام دهد.

محققان پروف‌پوینت شباهت‌های تاکتیکی و تکنیکی این حملات را با فعالیت‌های گروه‌های TA451 و TA455 شناسایی کرده‌اند که پیش‌تر به سپاه پاسداران نسبت داده شده‌اند. این گروه‌ها قبلاً نیز صنایع هوافضا را هدف قرار داده‌اند. TA451 و UNK_CraftyCamel هر دو از فایل‌های HTA در حملات هدفمند در امارات استفاده کرده‌اند و TA455 و UNK_CraftyCamel ترجیح می‌دهند با پیشنهادات تجاری B2B به اهداف خود نزدیک شوند.

https://www.proofpoint.com/us/blog/threat-insight/call-it-what-you-want-threat-actor-delivers-highly-targeted-multistage-polyglot
@NarimanGharib

بر اساس گزارش اخیر GreyNoise، یک بات‌نت جدید به نام Eleven11bot شناسایی شده که حدود ۳۰ هزار دستگاه را در سطح جهان آلوده کرده است. این بات‌نت بیشتر دوربین‌های امنیتی و NVRها را هدف قرار داده و از آنها برای حملات DDoS علیه شرکت‌های مخابراتی و پلتفرم‌های بازی استفاده می‌کند.

نکته قابل توجه اینکه طبق داده‌های GreyNoise، حدود ۶۱ درصد از آدرس‌های IP مرتبط با این بات‌نت (۶۳۶ از ۱۰۴۲) به ایران برمی‌گردد.

بات‌نت (Botnet) شبکه‌ای از دستگاه‌های آلوده به بدافزار است که تحت کنترل یک مهاجم قرار دارند و برای انجام فعالیت‌های مخرب مانند ارسال هرزنامه، سرقت اطلاعات یا حملات منع سرویس (DDoS) استفاده می‌شوند.

کارشناسان امنیتی توصیه می‌کنند کاربران ایرانی نسبت به این موضوع هوشیار باشند. متخصصان GreyNoise می‌گویند این بات‌نت مخصوصاً دوربین‌های برند VStarcam را با استفاده از اطلاعات ورود پیش‌فرض هدف قرار می‌دهد. اگر از تجهیزات متصل به اینترنت استفاده می‌کنید، بهتر است فوراً به تنظیمات امنیتی آنها سر بزنید و گذرواژه‌ها را به ترکیبی پیچیده و منحصر به فرد تغییر دهید. همچنین فعال کردن احراز هویت دو مرحله‌ای در هر سرویسی که از آن پشتیبانی می‌کند، می‌تواند لایه امنیتی مهمی ایجاد کند.

این بات‌نت با استفاده از روش‌های ساده‌ای مثل حدس زدن رمزهای عبور ضعیف و استفاده از مشخصات پیش‌فرض کارخانه، دستگاه‌ها را آلوده می‌کند. GreyNoise درباره منشأ حملات اظهارنظر قطعی نکرده است.
اگر می‌خواهید بدانید آیا دستگاه شما آلوده شده، به دنبال ترافیک شبکه غیرعادی، کندی اینترنت یا افزایش مصرف پهنای باند باشید و در صورت مشکوک بودن، دستگاه را ریست کرده و رمز عبور جدیدی تنظیم کنید.

https://www.greynoise.io/blog/new-ddos-botnet-discovered
@NarimanGharib

در سایه‌های کنترل و نظارت، اینستاگرام برای میلیون‌ها ایرانی دریچه‌ای به سوی دنیای بیرون بود. امروز اما، همان پنجره کوچک با مهر "مصادره شده" کوبیده می‌شود. پلیس سایبری جمهوری اسلامی، با تاکتیکی که یادآور مصادره‌های اموال دهه شصت است، این‌بار به غارت هویت دیجیتال شهروندان پرداخته است. آن‌ها با احضار فیزیکی کاربران - از چهره‌های شناخته شده تا شهروندان عادی - و تحت فشار بازجویی، کلیدهای قلمرو دیجیتال آن‌ها را می‌رُبایند.

فرایند این مصادره دیجیتال با دقتی شبیه عملیات نظامی انجام می‌شود: ابتدا دستگیری، سپس بازجویی طولانی، اخذ رمزهای عبور، حذف تمام پست‌های صفحات مجازی، و در نهایت نصب پرچم مصادره بر سردر این خانه‌های دیجیتال. این اقدام یادآور تاریخ مشابهی است که در آن، روزنامه‌ها توقیف و دفاتر رسانه‌ها پلمب می‌شد.

این خاموشی اجباری صداها در فضای مجازی، با سابقه تاریخی سرکوب رسانه‌ها در ایران پیوند می‌خورد؛ از توقیف روزنامه‌های دوره اصلاحات گرفته تا فیلترینگ گسترده پلتفرم‌های آنلاین در دهه‌های ۸۰ و ۹۰ و اوج سرکوب دیجیتال و خاموشی اینترنت پس از اعتراضات دی ۹۶ و آبان ۹۸. تفاوت امروز در این است که حکومت از مرز محدودسازی دسترسی فراتر رفته و به مصادره کامل هویت دیجیتال افراد رسیده است - گویی که نه تنها صدا، بلکه حتی تصویر و خاطره دیجیتال افراد نیز باید از صفحه روزگار محو شود.

شرکت متا و مدیران اینستاگرام باید این پرسش را از خود بپرسند: آیا ابزاری که برای اتصال انسان‌ها ساخته شده، اکنون به اهرمی برای سرکوب و ارعاب تبدیل شده است؟ از زمان قطع دسترسی به تلگرام در سال ۱۳۹۷ و محدودیت‌های گسترده اینترنتی در جریان اعتراضات آبان ۱۳۹۸ و مهر ۱۴۰۱، الگوی مشخصی از محدودسازی فضای دیجیتال در ایران قابل مشاهده است. اکنون مسئولیت تاریخی متا این است که سیستم‌های هوشمند تشخیص الگوی مصادره حساب‌های کاربری را توسعه دهد - الگوریتم‌هایی که بتوانند رفتارهای غیرعادی مانند حذف یکباره محتوا و تغییر پروفایل به نشان‌های مشخص مصادره را شناسایی کرده و به‌طور خودکار حساب را قفل کنند. متا همچنین می‌تواند مسیرهای بازیابی امنی ایجاد کند که حتی در شرایط بازداشت فیزیکی، برای مقامات قابل دسترسی نباشد. آیا غول‌های فناوری در برابر این استفاده ابزاری از پلتفرم‌هایشان برای سرکوب، ایستادگی خواهند کرد؟

https://blog.narimangharib.com/posts/2025%2F03%2F1740920973809?lang=en

@NarimanGharib

احمد قیومی، مدیرعامل شرکت واحد اتوبوسرانی تهران، اخبار منتشر شده درباره دیزلی بودن اتوبوس‌های وارداتی برقی را تکذیب کرد و گفت: «سیستم گازوئیلی این اتوبوس‌ها برای گرمایش کابین و به‌منظور جلوگیری از افت عملکرد باتری است و ارتباطی با نیروی محرکه ندارد.»
😂😂😂😂

واقعا مغزتون رو باید قاب بکنند بزنن سر در تهران! گازوئیلشم بدن آقای میثاقی بخوره

@NarimanGharib

طی چند ماه گذشته، یک کمپین پیچیده فیشینگ تلگرام را زیر نظر داشتم که توسط سپاه پاسداران طراحی و اجرا شده است. این حملات به طور خاص فعالان حقوق بشر و روزنامه‌نگاران را هدف قرار می‌دهد و تلاش می‌کند تا به حساب‌های تلگرام آنها نفوذ کند.

آنچه این کمپین را به شدت نگران‌کننده می‌کند، پیچیدگی فنی آن است. برخلاف حملات فیشینگ معمولی، این عملیات به طور کامل فرآیند احراز هویت تلگرام را شبیه‌سازی می‌کند، به طوری که حتی کاربران آگاه به مسائل امنیتی هم به سختی می‌توانند آن را تشخیص دهند.

حمله زمانی شروع می‌شود که قربانیان پیامی دریافت می‌کنند که به نظر می‌رسد یک هشدار امنیتی واقعی از تلگرام است. سپس کیت فیشینگ یک مجموعه دقیق از مراحل را اجرا می‌کند:

ابتدا، کاربران با صفحه ورودی مواجه می‌شوند که بر اساس آی‌پی آنها، کد کشور را به طور خودکار تشخیص داده و پر می‌کند - ترفندی هوشمندانه که به صفحه جعلی مشروعیت می‌بخشد. پس از وارد کردن شماره تلفن، بخش اصلی حمله شروع می‌شود:

مهاجمان از سیستم احراز هویت واقعی تلگرام استفاده می‌کنند و باعث می‌شوند قربانیان کدهای واقعی تلگرام را روی دستگاه‌های دیگر خود دریافت کنند.

اینجاست که خطر جدی می‌شود. از آنجایی که کد تأیید از خود تلگرام ارسال می‌شود، حتی کاربران محتاط هم ممکن است در این تله بیافتن. برای حساب‌هایی که تأیید دو مرحله‌ای دارند، مهاجمان ترفند زیرکانه دیگری را پیاده‌سازی کرده‌اند: آنها راهنمای واقعی رمز عبور از حساب قربانی را نمایش می‌دهند که صفحه ورود رمز جعلی آنها را تقریباً غیرقابل تشخیص از صفحه واقعی تلگرام می‌کند.

در مرحله آخر، فیشرها از روش‌های پیشرفته مهندسی اجتماعی استفاده می‌کنند. آنها به کاربر نشان می‌دهند که یک نفر در حال دسترسی به حساب کاربری‌شان است و همزمان با نمایش یک تایمر ۳۰ ثانیه‌ای، کاربر را مجبور می‌کنند تا سریعاً تصمیم بگیرد. آنها دو گزینه به کاربر می‌دهند: «بله، این من هستم» یا «نه، من نیستم». این ترفند باعث می‌شود کاربر در شرایط استرس و اضطرار تصمیم بگیرد و احتمال اینکه روی گزینه «بله» کلیک کند را افزایش می‌دهد.

ادامه مطلب را این صفحه بخوانید

@NarimanGharib