روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ سخت بتوان جنبهای از فعالیت انسانی را در نظر گرفت که تحتالشعاع پاندمی ویروس کرونا قرار نگرفته باشد و خوب سرویسهای تحویل کالا هم از این قاعده مستثنی نیستند. جریانات حمل و نقل بین کشورها مختل شده و از آنجایی که مردم و شرکتها همینطور دارند در سطح داخلی و خارجی کالا سفارش میدهند هواپیماهای باربری کم آمده است. تقاضا برای برخی اقلام حتی بسیار زیاد شده است. افزایش شدید تقاضا باعث طولانی شدنِ مدتزمان ترانزیتها شده و در نتیجه مشتریان کمکم دارند به پیامهای عذرخواهی از سوی پیکها عادت میکنند. همین اواخر، شاهد تعدادی سایت و ایمیل جعلی بودهایم که به ظاهر از سوی سرویسهای تحویل بودهاند اما در واقع داشتند از موضوع داغ ویروس کرونا سوءاستفاده میکردند. کلاهبرداران در این بحبوحهی پاندمی ویروس کرونا دارند هم از نقشههای قدیمی –که امتحان خود را پس دادهاند- و هم نقشههای جدید استفاده میکنند. در ادامه با ما همراه شوید تا شما را با عملکرد چنین سرویسهای تحویل جعلیای آشنا کنیم.
اسپم با پیوستهای مخرب
اسپمرها ممکن است خود را کارمندان سرویسهای تحویل جا زده تا قربانیان را متقاعد کنند پیوستهای آلودهی ایمیل را باز کنند. ترفند کلاسیک این است که بگویند برای دریافت بسته که در راه است، گیرنده باید ابتدا اطلاعات داخل فایل پیوست را مطالعه و تأیید کند. برای مثال، نوتیفیکیشنی از ایمیل جعلیِ تحویل با انگلیسیِ شکسته میگوید بسته نمیتواند پست شود زیرا گیرنده باید بیاید انبار و شخصاً بسته را دریافت کند. آدرس انبار و سایر جزئیات نیز البته در پیوست آورده شده است- پیوستی که اگر باز شود بکدری به نام Remcos روی کامپیوتر قربانی باز خواهد کرد. مجرمان سایبری میتوانند سپس پیسی را به یک باتنت وصل کرده یا شاید شروع کنند به سرقت اطلاعات یا نصب سایر بدافزارها.
نویسندگان یک ایمیل جعلی دلیوریِ دیگر نیز از همین ترفند استفاده کرده و میگوید این شرکت نتوانسته بسته را پست کند؛ زیرا خطایی در مرحلهی برچسبزدن رخ داده است. از قربانی خواسته میشود تا اطلاعات داخل پیوست را تأیید کند، پیوستی که در حقیقت حاوی عضو دیگری از خانواده Remcos است.
برخیاوقات اسپمرها تصاویری از داکیومنتها را برای افزایش اعتبار در پیام درج میکنند. در مثال زیر، اسکمرها تصویر کوچکی را به متن ایمیل اضافه کردند. شبیه به رسید بود ولی در حقیقت آنقدر ریز بود که نمیشد آن را خواند و وقتی هم رویش کلیک میشد سایز آن تغییری نمیکرد. برای همین گیرنده مجبور میشد پیوست آلوده را که نامش حاوی .jpg. بود باز کند. اگر کلاینت ایمیل گیرنده افزونهی واقعی فایل را نشان ندهد، ممکن است چنین پیوستی را با عکس اشتباه بگیرند. در واقع آرشیو قابلاجرای ACE حاوی برنامه جاسوسافزار تحت عنوان Noon است. برای هول کردن قربانی، مجرمان سایبری میگویند اطلاعات از قلمافتاده را فوری و فوتی لازم دارند تا بدینترتیب بسته قبل از اجرا شدن پروتکل قرنطینه تحویل داده شود.
ایمیل آلودهی دیگر که جدید هم نیست اما با شرایط این روزها جور درمیآید تأخیر در تحویل پستهاست. این سناریو بسیار مجابکننده است: اسکمرها قربانی را به سمت پیوستی حاوی تروجان Bsymem–که اگر اجرا شود به مهاجمین اجازه خواهد داد تا کنترل دستگاه را در دست گرفته و دادهها را سرقت کنند- هدایت میکنند. پایینِ پیام هم بیانیهای وجود دارد که با راهکار امنیتی میل، اسکن شده است و ظاهراً حاوی هیچ لینک یا فایل مخربی هم نیست؛ این ادعا به گیرنده حس کاذب امنیت میدهد.
بسیاری از اسپمرها تنها در قالب معمولِ میلینگ خود کمی به کووید 19 اشاره میکنند اما برخی دیگر تمرکز خود را به طور خاص روی قرنطینهها و شیوع سریع پاندمی میگذارند. برای مثال، در یکی از ماجراها، دولت ورود هر گونه کالا را به کشور ممنوع کرده بود و اینگونه بسته به فرستنده برگشت داده شد.
این پیوست ظاهراً حاوی شماره ردیابی سفارش برای درخواست ارسال مجدد –بعد از اینکه محدودیتهای بهداشتی مربوط به ویروس برداشته شد- بوده است. اما در واقع باز کردن فایل، نصب بکدر Androm را –که به مهاجمین اجازهی دسترسی ریموت به کامپیوتر را میدهد- به خطر میاندازد.
فیشینگ
اسکمرهای متخصص در زمینه حملات فیشینگ نیز دارند از این هرج و مرج حاکم بر بازار تحویل کالا سوءاستفاده میکنند. ما نسخههای به شدت باورکردنیای از وبسایتهای قانونی و نیز صفحات ردیابی جعلی شناسایی کردهایم که همهشان گریزی به ویروس کرونا زده بودند. برای مثال، فیشرهایی که طعمهشان، اکانت مشتریان یک سرویس تحویل بود با ریزهکاری فراوان هومپیج رسمی یک شرکت را تقلید کرده بودند (هومپیجی که در آن اخبار داغی از پاندمی ویروس کرونا منتشر شده بود).
این صفحه شبیهسازی شده در جزیئات و ریزهکاریها هیچ کمی از هومپیج اصلی نداشت و از این رو تشخیص آن برای قربانیان بسیار سخت بود.
نویسندگان این پورتال جعلی برای ردیابی بستهها به خط کپیراست کووید 19 را هم اضافه کردند. روی این صفحه به غیر از ماجرای پاندمی ویروس، اطلاعات کمتری از مسائل دیگر آورده شده است: فرمی برای وارد کردن اطلاعات محرمانه و فهرستی از سرویسهای ایمیلِ «شریک». لازم به گفتن نیست که وارد کردن اطلاعات محرمانه روی این منبع، یعنی دو دستی در اختیار گذاشتن این اطلاعات به اسکمرها؛ حال آنکه سرنوشت بسته هم نامعلوم باقی خواهد ماند.
راهکارهایی برای جلوگیری
سایتها و ایمیلهای جعلی در پس ماجرای داغ کرونا خوب دارند جولان میدهند؛ این پدیده خوب فرصتی را برای مجرمان سایبری ایجاد کرده است. خصوصاً اگر قربانی واقعاً منتظر بستهای باشد و یا فرضاً جزئیات باربری به ایمیل کاری شما فرستاده شده باشد (اینطوری با خود میگویید شاید همکارتان این سفارش را گذاشته باشد). توصیهی ما به شما این است که:
- یه دقت به آدرس فرستنده نگاه کنید. اگر پیام از سوی سرویس میل رایگان بود و یا مجموعه کاراکترهای بیمعنی در نام میلباکس وجود داشت احتمال میرود تقلبی باشد. با این حال در نظر داشته باشید که شاید آدرس فرستنده هم جعلی باشد.
- به متن توجه داشته باشید. یک شرکت بزرگ و معتبر هرگز با متنی که فرمتش کج و معوج باشد و ایراد گرامری هم داشته باشد ایمیل ارسال نمیکند.
- پیوستهای داخل ایمیلهایی را که از سوی سرویسهای تحویل هستند –خصوصاً اگر فرستنده اصرار میورزد- باز نکنید. در عوض، به اکانت شخصی خود روی وبسایت پیک لاگین کرده و یا برای برررسی شماره ردیابی به طور دستی آدرس سرویس را در مرورگر وارد کنید. اگر ایمیلی دریافت کردید که اصرار میکند روی لینکی کلیک کنید نیز توصیه میشود همین کار را انجام دهید.
- اگر پیامی به مسئله کرونا اشاره کرده بود حواس خود را جمع کنید؛ مجرمان سایبری برای جلب توجه از مسائل داغ سوءاستفاده میکنند؛ بنابراین هرگز نباید در مواجهه با چنین پیامهایی زود مجاب شوید.
- راهکار امنیتی مطمئنی را نصب کنید که پیوستهای آلوده را شناسایی کرده و وبسایتهای فیشینگ را بلاک میکند.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.