وبلاگ کسپرسکی آنلاین | اسپم و فیشینگ در سال 2023

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛

سال 2023 در قالب ارقام و اعداد

45.60 درصد از کل ایمیل‌های ارسالی در سراسر جهان و 46.59 درصد از ایمیل‌های ارسالی در Runet (بخش وب روسی) اسپم بوده است.
31.45 درصد از کل ایمیل‌های اسپم از روسیه ارسال شده است.
آنتی ویروس Kaspersky Mail 135,980,457 پیوست ایمیل مخرب را مسدود کرد.
سیستم ضد فیشینگ ما 709,590,011 تلاش برای دنبال کردن لینک‌های فیشینگ را خنثی کرد.
ویژگی SafeMessaging در راهکارهای موبایل کسپرسکی از بیش از 62000 تغییر مسیر از طریق لینک‌های فیشینگ از تلگرام جلوگیری کرد.

فیشینگ و اسکم در سال 2023

شکار گیمرها

در سال 2023 هم مانند سابق، مجرمان سایبری گیمرها را با آفرهایی از سوی صنعت گیمینگ فریب دادند. به قربانیان احتمالی نسخه رایگان جدیدترین گیم وعده داده شده بود (گاهی حتی قبل از عرضه رسمی‌اش). گاهی هم این آفرها در قالب جایی در تورنومنت گیمینگ با دریایی از جوایز وسوسه‌انگیز بودند. برای دسترسی به محتوا (یا مسابقه)، سایت‌های فیشینگ قربانی را مجاب می‌کردند با یکی از اکانت‌های گیمینگ خود sign in کنند. اگر قربانی جزئیات محرمانه را روی فرم فیشینگ وارد می‌کرد، اکانت بلافاصله هک می‌شد.

نقشه‌های دیگر فرصتی را برای آزمایش نسخه جدیدی از یک بازی مورد انتظار - با هزینه‌ای ناچیز، تبلیغ می‌کردند. از آنجایی که پرداخت در یک وبسایت جعلی انجام شده است، هم پول و هم مشخصات کارت قربانی به دست مهاجمان می‌رسد و آرزوی پخش نسخه جدید تنها یک آرزو باقی می‌ماند. طعمه دیگر اشیای قیمتی درون بازی بود: عاملین تهدید، ارز درون بازی، اسکین‌ها و حساب‌ها را با قیمت‌های مقرون به صرفه «به‌روزرسانی» نموده و «رویدادهایی» را اعلام می‌کردند که در آن چیزهای خوبی در دسترس بود. با این حال، با خرید چیزی در یک سایت تایید نشده، کاربر هم خطر از دست دادن پول و هم سرقت اطلاعات شخصی خود مانند آدرس پستی یا ایمیل، شماره تلفن و سایر جزئیات را در پی داشت. پس از خرید، کلاهبرداران سکوت کردند یا اطلعات را برای یک حساب سرقتی تصادفی که حاوی هیچ چیز با ارزشی نبود برای قربانی ارسال کردند.

بُردها و بازپرداخت‌های ناگهانی

معافیت‌ها و مزایا، به ویژه مربوط به مالیات، جذاب هستند. مجرمان سایبری در سال 2023 از این مزیت سوءاستفاده کردند. منابع جعلی ارائه بازپرداخت از نزدیک طراحی وبسایت‌های قانونی مقامات مالیاتی در ایالات متحده، بریتانیا، سنگاپور، فرانسه و سایر کشورها را کپی کردند. با این حال، برخی از کپی ها کمی ناقص بودند، در این مورد هِدِر سایت به درستی اشاره کرد که این فقط یک نسخه بتا است تا حتی تیزترین کاربر را فریب دهد. جای تعجب نیست که از کاربر خواسته شد قبل از دریافت "بازپرداخت" چند مرحله‌ای را انجام دهد. ابتدا از قربانی خواسته شد تا مشخصات (اسناد) خود را به روز کند یا اطلاعات مهمی را در رابطه با مبلغی که حق دریافت آن را دارد بخواند. کلاهبرداران از هر ترفندی استفاده کردند، هدف این بود که قربانی پرداخت را باور کند.

بازپرداخت تنها تحت پوشش سازمان‌های دولتی ارائه نشد؛ برخی از سایت‌های کلاهبرداری کشف شده وعده بازپرداخت مبلغ معینی را به مشتریان یک شرکت بزرگ مخابراتی بین المللی داده‌ بودند. برای دریافت پول، باید هزینه کمی از قبل پرداخت می‌شد که منجر به به خطر افتادن کارت پرداخت قربانی شد. نیازی به گفتن نیست که پرداخت وعده داده شده هرگز به حساب آنها واریز نشد! سال 2023 اسکمرها قربانیان را فقط با وعده پول به دام نیانداختند. برای مثال نقشه‌ای را شاهد بودیم که از قربانیان در آن خواسته شده بود در بخت‌آزمایی برای برد ویزای کاری یا دانشجویی شرکت کنند. از علاقمندان خواسته شده بود اپلیکیشنی پر کنند و اطلاعات مربوط با لاتاری را به تعداد مشخصی از مخاطبین واتس‌اپی خود ارسال کرده و بعد منتظر نتیجه بمانند. به طور جادویی، همه برنده شدند فقط مسئله این بود که قبل از گرفتن ویزایشان از آن‌ها خواسته شده بود هزینه مدیریتی را بپردازند. در واقعیت قربانیان حتی شانس گرفتن ویزا هم نداشتند: مقامات هرگز به طور تصادفی چنین داکیومنت‌هایی را صادر نمی‌کنند خصوصاً برای اقامت‌های طولانی‌مدت.

پول بادآورده

علاوه بر بازپرداخت و بخت آزمایی، کلاهبرداران در سال 2023 پیشنهادهایی برای کسب درآمد سریع ارائه کردند. در کنار کلاهبرداری‌های معمول "پولدار شدن بی‌زحمت" و "نظرسنجی پولی"، ما با چند سناریو کمتر متعارف مواجه شدیم. به عنوان مثال، سایت زیر خود را به عنوان منبعی برای کسب درآمد سریع در قالب سرگرمی معرفی کرد. شرایط و ضوابط وعده پرداخت برای انجام کارهای ساده را می‌دهد: بازی کردن، آزمایش برنامه‌ها، نظرسنجی و موارد دیگر. انتخابی از وظایف ارائه شد، پاداش برای هر یک پرداخت ثابت بود. با این حال، هنگام انتخاب یک کار از لیست، کاربر به صفحه‌ای با کلاهبرداری های مختلف هدایت می‌شود. بنابراین، حتی در تئوری، کسب درآمد در سایت غیرممکن بود، زیرا صفحات دارای وظایف صرفاً برای ایجاد کلیک برای سایت‌های کلاهبرداری خدمت می‌کردند.

اسکم‌های رمزراز

فیشینگی که هدفش سرقت اطلاعات کیف‌پول کریپتو باشد همچنان ابزار شایع درآمدزایی مانده است. صفحات جعلی که ادای سایت‌های محبوب رمزارز را درمی‌آورند کاربران را دعوت کرده بودند با اطلاعات والت خود sign in کنند. سایت‌های کلاهبرداری نیز از ارز دیجیتال به عنوان طعمه استفاده می‌کردند. از بازدیدکنندگان صفحه در تصویر زیر خواسته شد تا یک اسکریپت "معجزه" را دانلود کنند تا هر روز بیت کوین رایگان دریافت کنند و درآمد ارز دیجیتال خود را افزایش دهند. در توضیح برنامه دیگری در این سایت به چیزی غیرقانونی اشاره شده است: ظاهراً اسکریپت آدرس هر کیف پولی را با آدرس کاربر اسکریپت جایگزین و پول را از کیف پول هدف خارج می‌کند. قیمت دانلود هر دو اسکریپت کمتر از 50 دلار بود.

به یاد داشته باشید که با نصب هر نرم افزاری از منابع تایید نشده، خطر آلوده شدن دستگاه خود به بدافزار را دارید. علاوه بر این، مبالغ متورم وعده داده شده در صفحه اصلی به وضوح نشان می‌دهد که این یک کلاهبرداری بوده است.

حمله به شبکه‌های اجتماعی و پیام‌رسان‌های فوری

شبکه‌های اجتماعی و اپ‌های پیام‌رسان فوری سهم زیادی از حملات فیشینگ سال 2023 می‌برند. در بخش روسی زبان وب، رأی به شرکت‌کنندگان مسابقات آنلاین همچنان موضوع داغی است. مهاجمین لینک‌هایی را با واتس‌اپ برای رأی ارسال کردند (هم در قالب پیام‌های تکی و مستقیم و هم چت‌های گروهی). تم‌های مسابقه از نقاشی کودکانه بود تا رقص باله! برای رأی دادن، کاربر باید با واتس‌اپ sign in می‌کرد، شماره تلفنش را می‌داد و بعد کد سایت را در اپ تحت Link a Device وارد می‌کرد. اگر دستورالعمل‌ها بدرستی دنبال می‌شد، مهاجمین می‌توانستند روی دستگاه خود به اکانت قربانی دسترسی پیدا کنند.

در سطح جهانی، کلاهبرداران با استفاده از تبلیغات با تخفیف به عنوان طعمه، حساب‌های تجاری فیسبوک را هدف قرار دادند. به عنوان مثال، به کاربران اعتبار تبلیغات متا به صورت رایگان ارائه شد. برای درخواست «هدیه»، باید وارد حساب کاربری خود می‌شوید، یعنی اعتبار خود را با کلاهبرداران به اشتراک می‌گذارید. یکی دیگر از بردارهای حمله پیام‌رسانی فوری، گسترش فیشینگ و کلاهبرداری‌هایی بود که هدفشان چیزی غیر از ربودن حساب‌های فوری بود. به ویژه، مهاجمان از پیشنهادات پول سریع سوء استفاده کردند. برای شروع کسب درآمد، فقط باید منتظر «فضای رایگان» (ظاهراً در برخی از برنامه‌های مرتبط با ربات)، ثبت نام و راه‌اندازی ربات بود. در طول ثبت نام، کلاهبرداران علاوه بر این به قربانی "مشاوره رایگان" ارائه کردند، که در طی آن احتمالاً از مهندسی اجتماعی برای متقاعد کردن قربانی برای تحویل پول استفاده کردند. برای اعتبار بیشتر، متن زیر فرم ثبت نام بیان می‌کرد که ساکنان برخی کشورها به طور موقت نمی توانند از ربات استفاده کنند، اما همچنان قادرند به روز رسانی‌ها را دنبال کنند. پس از ثبت نام، به قربانی توصیه شد که برای شروع درآمدزایی "مبلغ توصیه شده را سرمایه گذاری کند". اگر قربانی این کار را می‌کرد کل پولش دود می‌شد و به هوا می‌رفت!

احراز هویت دوعاملی

سایت‌های جدی و کاربلد اغلب برای محافظت از اکانت کاربرانشان در مقابل هک از احراز هویت دوعامل استفاده می‌کنند. کلی بگوییم، برای ورود به اکانت شخصی، کاربر ابتدا باید نام کاربری و پسورد خود را بزند و بعد کد یکبار مصرفی برایش در قالب متن، ایمیل یا نوتیف ارسال شده یا اپ خاصی آن را تولید می‌کند. مجرمان سایبری همه کار می‌کنند تا از این مانع عبور کنند. برای مثال یک پیج جعلی که از بانک روسی تقلید می‌کرد به قربانیان پیشنهاد داده بود در تبلیغی شرکت و بعد از وارد کردن نام کاربری و پسوردشان شش هزار روبل روسیه دریافت کنند. بات، داده‌های ورودی را به بازار آنلاین واقعی که کد ارسالی در قالب مت نرا درخواست داده بود ارسال کرد. در نتیجه پیج جعلی برای وارد کردن کد، فیلدی را نمایش داد. بات بعد از دریافت کد، آن را به سایت واقعی ارسال کرد (اکانت شخصی قربانی حالا در اختیار کلاهبرداران قرار گرفته بود).

هوش مصنوعی در خدمت اسکمرها

در سال 2023، هیچ فناوری سال بدون هوش مصنوعی مولد کامل نمی‌شد. کلاهبرداران سایبری از این فرصت، استفاده کردند. آنها با استفاده از سایت‌های جعلی، چت جی‌بی‌تی‌ها را که ظاهراً قادر به تشخیص مشکلات رایانه‌ای، کسب درآمد و مواردی از این دست بودند میزبانی کردند. در واقع، این سایت هیچ مدل هوش مصنوعی را به کار نبرد، بلکه فقط از این موضوع برای برانگیختن علاقه قربانیان احتمالی و ایجاد جنایتی بزرگتر استفاده کرد. یکی از این صفحات با تقلید از وبسایت مایکروسافت به بازدیدکنندگان هشدار داد که کامپیوتر آنها به یک تروجان آلوده شده است. برای جلوگیری از از دست رفتن داده‌ها، به آنها توصیه شد تا زمانی که مشکل حل نشده است دستگاه را راه اندازی مجدد یا خاموش نکنند. دو گزینه ارائه شد: تماس با خط تلفن یا چت با لوسی، ربات چت هوش مصنوعی. در مورد دوم، باید روشی را برای تشخیص دستگاه انتخاب می‌کردید، پس از آن ربات گفت که قادر به حل مشکل نیست و توصیه می‌کند با پشتیبانی تماس بگیرید. به طور طبیعی، کلاهبرداران حرفه‌ای و نه مهندسان مایکروسافت، در انتهای خط منتظر بودند!

اسکم‌ها

اواسط بهار 2023 موج عظیمی از ایمیل مرتبط با پروژه جعلی سرمایه‌گذاری شرکت Runet را محاصره کرد. در این ایمیل به پاسخ‌هندگان فرصت درآمدزایی با رقم بالا (صدها هزار روبل) با زحمت کم پیشنهاد شده بود. با کلیک کردن روی لینک، قربانی به یک وب‌سایت «پروژه» منتقل شد، جایی که ابتدا باید به سؤالات مربوط به تجربه سرمایه‌گذاری خود پاسخ می‌داد، سپس یک شماره تلفن و آدرس ایمیل برای بازخورد گذاشت. در مرحله بعد، کلاهبرداران با شماره تماس گرفتند و پیشنهاد ساخت کیف پول برای سرمایه گذاری‌های آینده را دادند. با این حال، کیف پول به جای کسب درآمد برای قربانی، وجوه را مستقیماً به سمت کلاهبرداران هدایت می‌کند.

علاوه بر کلاهبرداری اصلی، قربانی پس از وارد کردن جزئیات، گاهی به یک سایت مشکوک مانند یک شرکت کارگزاری ساختگی هدایت می‌شد. اگر آن‌ها پولی را به حساب آن شرکت واریز می‌کردند، احتمالاً بار آخری بود که رنگ آن پول را می‌دیدند! از «چت ربات‌های هوشمند» نیز به عنوان «مشاور» برای کسب درآمد آنلاین استفاده می‌شد. در یک سایت، رباتی که وانمود می‌کرد طراح ایلان ماسک است، خدمات سرمایه‌گذاری را تبلیغ می‌کرد. ربات پس از گفتن به "مشتری" جدید که می تواند آنها را به سرعت ثروتمند کند، در مورد تحصیلات، سطح درآمد و تجربه سرمایه گذاری آنها پرسید. صرف نظر از پاسخ ها، ربات به مشتری اطلاع داد که تمام درآمد را انجام خواهد داد. در مرحله بعد، مبلغی را که می‌توانست ارائه دهد نشان داد و کاربر را وادار کرد تا صرفاً با ارائه اطلاعات تماس خود ثبت نام کند. وقایع پس از آن احتمالاً مانند سایر طرح‌های مشابه رخ داده‌اند: «هوش مصنوعی» برای شناخت توانایی‌های فکری‌اش مبلغی ناچیز درخواست کرد و بعدش ناپدید شد.

اسکم‌های خیریه

عاملین تهدید طبق سنت برای سوءاستفاده از رنج‌های انسان و عطش افراد برای کمک به دیگران و نوع‌دوستی، دست به اکسپلویت رخدادهای جهانی معروف می‌زنند. در نیمه دوم فوریه 2023 شاهد ایمیل‌های اسکم مختلف بودیم که از پاسخ‌دهنده خواسته بودند پول را به کیف‌پول بیت‌کوین منتقل کنند تا به قربانیان زلزله اخیر در ترکیه کمک شود. و در ماه اکتبر هم اسکمرها خواستند به قربانیان جنگ حماس و اسرائیل کمک کنند و در این راستا ایمیل‌هایی ارسال کردند. جالب اینجاست که کلاهبرداران وبسایت‌هایی را برای کمک به هر دو طرف درگیری راه اندازی کردند، اما با آدرس‌های کیف پول یکسان. ایمیل‌های معمولی‌تر نیز با آدرس کیف پول در بدنه مواجه شدند.

بلک‌میل

در سال 2023 شاهد تعدادی کلاهبرداری با اخاذی از طریق ایمیل بودیم. به عنوان مثال، در ماه دسامبر، با ایمیل انبوه مواجه شدیم که تهدید می‌کرد فیلم‌های شخصی گیرنده را برای دوستان و خانواده‌اش ارسال می‌کند. زورگیران ادعا کردند که دستگاه قربانی را هک کرده، کنترل دوربین و میکروفون را به دست گرفته و از صفحه نمایش ضبط کرده اند. آنها ویدیو را ویرایش کردند و محتوای روی صفحه را با فعالیت های ادعایی قربانی در مقابل رایانه ترکیب کردند. مجرمان به عنوان باج به دلیل عدم توزیع ویدیو، انتقال بیت کوین به کیف پول رمزنگاری مشخص شده را درخواست کردند. این طرح به خودی خود چیز جدیدی نیست: اخاذی با تهدیدهای توخالی یک نوع فرسوده از کلاهبرداری آنلاین است. با این حال، در سال 2023، این روند حدودی تغییر کرد. ابتدا، جزئیات "هک" و خواسته‌های مهاجمین مانند قبل در ایمیل وجود نداشت، اما در صفحه‌ای قربانی پس از کلیک بر روی لینکی در ایمیل به آن منتقل شد. دوم، این بار مهاجمان سعی کردند با افزودن اطلاعات شخصی درباره گیرنده ایمیل: نام کامل، شماره تلفن، شناسه مالیات دهندگان و سایر جزئیات، به داستان جعلی خود اعتبار بیشتری بدهند. اینها را احتمالاً از پایگاه‌های داده در دارک‌وب دریافت کرده‌اند.

پیوست‌های مخرب

اواسط آگوست، مهاجمین با ایمیل‌های انبوه به ظاهر از کمیته تحقیقات روسیه، کاربران را هدف قرار دادند. آدرس فرستنده حاوی یک نام دامنه رسمی بود، و متن ایمیل به گیرنده دستور می‌داد که مفاد یک پرونده جنایی را که گفته می‌شد در آن شاهد بوده‌اند، بخواند و آمادگی خود را برای شهادت در دادگاه گزارش کند. برای مشاهده "مفاد"، گیرنده باید روی لینکی به یک سرویس میزبانی فایل کلیک می‌کرد. قانع کننده به نظر می‌رسد، ایمیل حاوی برخی از داده‌های شخصی گیرنده است که احتمالاً در نتیجه نشت داده‌ها به دست آمده است. در طول سال، ایمیل‌های انبوه مخربی را مشاهده کردیم که ادعا می‌کردند از مخاطبین تجاری گیرنده هستند؛ همینطور شاهد تلاش‌هایی برای هدف قرار دادن صاحبان و کارکنان هتل‌ها بودیم. آنها ظاهراً ایمیل‌هایی از مهمانان سابق یا بالقوه دریافت کردند. در برخی موارد، مهاجمین ابتدا چند ایمیل «تمیز» با مدیریت هتل رد و بدل نموده و تنها پس از آن لینکی برای دانلود فایل‌های مخرب ارسال کردند. تهدیدهای مختلفی از جمله Xworm Trojan و RedLine stealer از این طریق توزیع شد.

فیشینگ هدف‌دار و حملات BEC در سال 2023

با پیشرفت شبکه‌های عصبی و مشخصاً سیستم‌های هوش مصنوعی تولیدکننده (مانند ChatGPT) ارائه متن شسته رفته برای فیشینگ هدف‌دار برای مجرمان سایبری از همیشه آسانتر شده است. اگر قبل از سال 2023 حملات BEC مشخصه‌شان مشکلات گرامری و سایز محدود متن بود اکنون چنین ایمیل‌هایی درست فرمت مکاتبات تجاری اصل را دارند.

جمع‌بندی

اتخاذ همگانی از فناوری‌ها با چت جی‌پی‌تی‌های درون‌سازه‌ای به اسکمرها فرصت می‌دهد کلی موضوع برای اکسپلویت داشته باشند. ما احتمالاً در سال 2024 و به طور کلی در آینده نزدیک شاهد تعداد زیادی از این نقشه‌ها خواهیم بود. اکران‌ها، رویدادها و نمایش‌های پرمخاطب برای فیشرها و کلاهبرداران باقی می‌مانند. همیشه قربانیانی هستند که دوست دارند یک شبه راه صدساله بروند و یا چیزی را زودتر یا ارزانتر داشته باشند. آن‌هایی که پولشان از راه رمرارز یا سایر سرمایه‌گذاری‌هاست همچنین باید حسابی حواس‌جمع باشند چراکه روز به روز تشخیص فرق بین پلت‌فرم‌های کلاهبردار و آن‌هایی که واقعی هستند سخت‌تر می‌شود. توصیه می‌کنیم بخصوص موقع تعطیلات و حراج‌های بزرگ حواستان جمع باشند: این جور وقت‌ها کاربران همیشه یا عجله دارند یا درگیر چک و چانه زدن هستند و همین کار مجرمان را راحت‌تر می‌کند. در آینده با گسترده شدن کیت‌های ابزارِ اپ‌های پیام رسان فوری، شبکه‌های اجتماعی رفته رفته کنار زده خواهند شد. این تقاضای رو به رشد برای پیام‌رسانی فوری علاقه مجرمان را نیز تشدید خواهد کرد. در بخش سازمانی هم عاملین تهدید احتمالاً ارسال ایمیل فیشینگ و BEC را به زبان‌های مختلف (تولیدشده با کمک LLMها) ادامه دهند. تاریح پیام از میل‌باکس‌های دستکاری‌شده نیز در ادامه توسط کمپین‌های فیشینگ مخرب و هدف‌دار استفاده خواهد شد. جلوتر که برویم، دامنه بدافزارهای توزیع‌شده به این روش نیز در آینده وسیع‌تر خواهد شد.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.