روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛  ما چندین ماه را صرف بررسی اسکم کریپتوییِ جدید و بسیار هوشمند کردیم؛ جایی که قربانیان به آرامی و با حیله‌گریِ تمام ترغیب به نصب اپ مدیریت کریپتوی آلوده می‌شوند. با این حال، آن‌هایی که مورد کلاهبرداری قرار گرفتند فقط اسمشان «قربانی» بود چون اپراتورها مانند رابین‌هودهای دیجیتالی، سارقان دیگر را هدف قرار دادند. بیایید نگاهی به این اسکم عجیب بیاندازیم و ببینیم چطور می‌شود از راز دیجیتال خود محافظت کنیم.

دام اولیه

همه‌چیز از مسیج تلگرامی فورواردشده در مورد ارز دیجیتال شروع می‌شود. شاید بقیه آن را ندید بگیرند اما تیم کسپرسکی از این موارد غافل نمی شوند. برای فرار از تشخیص، این پیام به عنوان یک کلیپ ویدیویی پنج ثانیه‌ای حاوی یک اسکرین‌شات ارائه شد که فروش عجولانه و با تخفیف شدید دو پروژه ارز دیجیتال سودآور با پیوندهای مربوطه را نشان می‌داد. لینک اول که احتمالاً برای ایجاد حس امنیت کاذب به گیرنده طراحی شده بود، منجر به یک صرافی واقعی سطح دوم رمزنگاری شد - البته کوچک. طعمه واقعی پشت لینک دیگر پنهان شده بود.

باگی آسان در سرور

برخلاف آنچه می‌توان انتظار داشت، دنبال کردن لینک دیگر هیچ محتوای مخربی را نشان نداد. ماجرا جالب‌تر از این‌ها بود: اگر با انتظار دیدن هوم‌پیج آدرسی را وارد می‌کردید مرورگر فهرست فهرست ریشه‌ای را با نام فایل‌های فریبنده در آن نشان می‌داد. به نظر می‌رسید که سرور به اشتباه پیکربندی شده است، یا صفحه اصلی به طور تصادفی حذف شده و همه داده های مالک دامنه نامشخص را نشان می‌دهد. می‌توانید روی هر فایل موجود در لیست کلیک و محتویات آن را مستقیماً در مرورگر مشاهده کنید، زیرا همه آنها دارای فرمت‌های رایج و آسانی مانند TXT، PDF، PNG یا JPG بودند. این باعث می‌شود بازدیدکننده احساس کند داخل پوشه داده‌های شخصی یک مالک ثروتمند اما کم‌هوشِ برخی پروژه‌های رمزنگاری شده است. فایل‌های متنی حاوی جزئیات کیف پول کامل با عبارات اولیه بودند، و تصاویر اسکرین‌شات‌هایی بودند که شواهدی مبنی بر ارسال موفقیت‌آمیز مقدار زیادی ارز دیجیتال، موجودی‌های کیف پول قابل توجه و سبک زندگی مجلل مالک را نشان می‌داد. یکی از اسکرین‌شات‌ها ویدیوی یوتیوبی در پس‌زمینه داشت که توضیح می‌داد چطور می‌شود با بیت‌کوین یات و فراری خرید. کاتالوگ پی‌دی‌افی این یات‌ها را براحتی می‌شد در همان دایرکتوری پیدا کرد. خلاصه‌اش کنیم، افراد با یک حیله تمام‌عیار طرف بودند.

والت‌ها و کش واقعی

این اسکم به این دلیل هوشمندانه خوانده می‌شود که در آن، جزئیات والت واقعی هستند و فرد واقعاً می‌تواند به والت‌ها دسترسی داشته باشد و برای مثال تاریخچه تراکنش اگوزداس یا دارایی‌هایش را در سایر والت‌ها مشاهده کند. طبق DeBank این دارایی‌ها به 150 هزار دلار می‌رسد. البته قابلیت برداشت وجود نخواهد داشت چون وجوه شرط‌بندی هستند- یعنی اساساً به اکانت چسبیده‌اند. با این همه، این باعث می شود بازدیدکننده کمتر شک کند: همه‌چیز طوری نشان داده شده انگار کسی داده‌های واقعی را با بی‌احتیاطی نشت کرده. انگار نه اسپمی و نه فیشینگی در کار است. تازه، لینک‌های خارجی یا فایل‌های مخرب هم جایی دیده نمی‌شوند. پس هیچ جایی برای شک وجود ندارد.

ما سایت را به مدت دو ماه زیر نظر گرفتیم، هیچ تغییری ندیدیم. به نظر می‌رسید که کلاهبرداران منتظر بودند تا توده‌ای از کاربران علاقه‌مند در هنگام ردیابی رفتار آن‌ها با تجزیه و تحلیل وب سرور جمع شوند. تنها پس از این مقدمه طولانی بود که مرحله بعدی حمله را کلید زدند.

امید تازه

وقفه دراماتیک دو ماهه سرانجام با یک به‌روزرسانی به پایان رسید: اسکرین‌شات جدید تلگرام که ظاهراً پرداخت موفق مونرو را نشان می‌دهد. اگر اسکرین‌شات دقیق‌تر بررسی شود، می‌توان متوجه برنامه کیف پول «Electrum-XMR»با گزارش تراکنش و موجودی قابل‌توجهی از تقریباً 6000 توکن مونرو XMR) ) شد در زمان انتشار آن حدود یک میلیون دلار ارزش داشت. به طور تصادفی، یک فایل متنی جدید با عبارت اولیه کیف پول درست در کنار تصویر ظاهر شد. در این مرحله، هر کسی که به اندازه کافی حیله‌گری و طمع را بلد بود عجله کرد تا یک کیف پول Electrum را دانلود کند و وارد حساب شخص بی‌احتیاط شود و باقی مانده پول را بگیرد. اما الکتروم فقط از بیت کوین پشتیبانی می‌کند، نه مونرو، و برای دسترسی مجدد به یک حساب، به یک کلید خصوصی (و نه یک عبارت اولیه) نیاز است. هنگام تلاش برای بازیابی کلید از عبارت seed، هر مبدل قانونی گفت که قالب عبارت seed نامعتبر است. با این حال، حرص و آز هوش از سر کاربران برده بود: ناسلامتی حرف یک میلیون دلار بود و آنها باید عجله می‌کردند قبل از اینکه شخص دیگری آن را بدزدد برش دارند. دوستان طماع‌مان رفتند سراغ سرچ کردن Electrum XMR  یا Electrum Monero و حالا هر چه سرچ کردند در نهایت نتیجه اصلی وبسایتی بود ظاهراً در مورد یک چنگال الکتروم بود که از Monero پشتیبانی می‌کرد. طراحی‌اش شبیه وب‌سایت اصلی Electrum بود، و به روش متن‌باز معمولی، انواع توصیف‌ها، لینک‌هایی به GitHub را نشان می‌داد (مخزن اصلی Electrum، البته – نه Electrum-XMR)،یادداشتی که به صراحت می‌گفت این یک چنگال برای پشتیبانی از Monero و لینک های مستقیم مفید به نصب کننده های macOS، Windows و Linux بوده است.

درست همینجا بود که شکارچی بی‌آنکه بداند خود تبدیل به صید می‌شود! دانلود و نصب Electrum-XMR کامپیوتر را با بدافزاری که کسپرسکی آن را بک‌در اعلام کرده آلوده شده. این بک‌در به مهاجمین دسترسی ریموت مخفیانه می‌دهد. و شاید گام بعدی، اسکن محتوای ماشین و سرقت داده‌های کریپتووالت‌ و هر اطلاعات ارزشمند دیگر باشد. راهکار امنیتی ما همان اول وبسایت مخرب را بلاک می‌کرد چه برسد به اینکه بگذارد نصب تروجان صورت گیرد. اما صیادان کریپتو که مشتاق بودند پول را از چنگ بقیه درآورند خود، قربانی شدند!

به طور ناگهانی، تکراری دیگر

مدتی بعد، زمانی که بررسی این شاهکار مهندسی اجتماعی به پایان رسید، طعمه دیگری دریافت کردیم که شوکه‌مان کرد. این بار، کلاهبرداران از حالت آتشفشان خاموش به چاله‌ای گداخته تبدیل شدند. در اسکرین‌شات کیف پول جعلی با موجودی بزرگ در کنار یک فایل متنی باز حاوی اطلاعات شخصی فراوان و یک لینک به طور متفکرانه اضافه شده به یک سایت مخرب نشان داده شده است که به نظر می‌رسد این کلاهبرداری ظاهراً به خوبی کار کرده و ما در معرض حملات مشابه زیادی هستیم.

شناخت حمله

قربانیان این اسکم جایی برای دلسوزی ما نگذاشته‌اند. ما که خوب می‌دانیم آن‌ها چطور سعی داشتند پول بقیه را بدزدند اما از بخت بد خودشان به دام افتادند. با این حال اسکمرها همیشه ترفندهای جدید در آستین دارند و بار بعد شاید راه بسیار اخلاقی برای پول درآوردن پیشنهاد دادند. برای مثال، شاید تصادفی اسکرین‌شاتی بگیرید که ایردراپ سودآوری را با لینکی در نوار آدرس تبلیغ می‌کند. پس باید هشیار بود و هر اطلاعاتی را نپذیرفت. هر مرحله در حمله به نحوی مشکوک بود. فروش وبسایت در قالب ویدیو کلیپ با اسکرین‌شات بود که واضحاً داشت الگوریتم‌های ضداسپم را دور می‌زد. وبسایتی که چیزی جز فایل‌های متنی با داده‌های کریپتو والت در آن‌ها ندارد، کلاهبرداری است؛ یعنی آنقدر خوب است که نباید به آن اعتماد کرد. دامنه میزبان چنگال کریپتو والتی وانمود می‌کند درست دو ماه قبل حمله رجیستر شده. با این حال، مهم‌تر از همه، فضای رمزنگاری پر از کلاهبرداری، استفاده از برنامه‌های کیف پول کمتر شناخته شده را به یک خطر غیرقابل قبول تبدیل می‌کند. توصیه ما این است که:

•         فقط از برنامه‌های کیف پول رمزنگاری اصلی و آزمایش‌شده و وب سایت‌های صرافی استفاده کنید.
•         با دقت بررسی کنید که فقط از طریق سایت‌های رسمی وارد سیستم می‌شوید و برنامه‌ها را از منابع مناسب دانلود می‌کنید.
•         نکات ما را برای شناسایی کلاهبرداران آنلاین بخوانید.
•         از محافظت جامع رایانه و تلفن هوشمند استفاده کنید که شما را از رفتن به سایت های فیشینگ یا اجرای بدافزارها باز می‌دارد.
•         در وبلاگ و/یا کانال تلگرام ما مشترک شوید تا اولین نفری باشید که از تهدیدهای جدید مطلع می‌شوید.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.