روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛  احراز هویت دو عاملی (2FA) یک قابلیت امنیتی است که در سال 2024 به استاندارد تبدیل شد. بیشتر وبسایت‌های امروزی نوعی از آن را ارائه می‌دهند و برخی‌شان حتی به شما اجازه نخواهند داد تا قبل از فعال کردن این قابلیت، از سرویس‌شان استفاده کنید. کشورها قوانینی را تصویب کرده‌اند که طبق آن‌ها، برخی انواع سازمان‌ها ملزم به محافظت اکانت‌های کاربری خود با احراز هویت دوعاملی هستند. متأسفانه، محبوبیت این قابلیت باعث شده بالطبع روش‌های هک یا دور زدن آن نیز بیشتر شود. این نقشه هک ویژه به نوع 2FA که قرار است تارگتش کند بستگی دارد.

گرچه سویه‌های مختلفی از 2FA وجود دارد اما بیشتر پیاده‌سازی‌ها به پسوردهای یکبار مصرف یا همان OTPها تکیه دارند؛ پسوردهایی که کاربران می‌توانند از طریق پیام متنی، تماس صوتی، پیام ایمیل، پیام فوریِ بات رسمی وبسایت‌ها یا پوش نوتیف‌های اپ موبایل دریافت کنند. اینها نوعی از کد هستند که بیشتر اسکمرهای آنلاین دنبالشان‌اند. عاملین مخرب می‌توانند به طرق مختلف شامل هک‌های پیچیده و چند مرحله‌ای به OTPها دسترسی پیدا کنند. در این مقاله متودهایی را که مبتنی بر مهندسی اجتماعی هستند؛ جایی که مهاجمین قربانی را فریب می‌دهند تا OTP خود را در اختیار بگذارند و نیز ابزارهایی که اسکمرها برای خودکارسازی دستکاری‌های خود استفاده می‌کنند (همان بات‌های OTP و پنل‌های مدیریتی برای کنترل کیت‌های فیشینگ) بررسی خواهیم کرد. با ما همراه باشید.

بات OTP چیست؟

استفاده از بات‌های OTP برای دور زدن 2FA یک ترند نسبتاً جدید اسکم آنلاین است که هم برای کاربران و هم خدمات آنلاین تهدید محسوب می‌شود. یک بات OTP تکه نرم‌افزاری است که برای رهگیری OTPها با کمک مهندسی اجتماعی برنامه‌ریزی شده است.

الگوی کلاهبرداری معمولی که از یک ربات OTP برای سرقت کدهای 2FA استفاده می‌کند شامل مراحل زیر می‌شود:

•         مهاجم اعتبار قربانی را در دست گرفته و از آنها برای ورود به حساب کاربری خود استفاده می‌کند.
•         قربانی یک OTP روی تلفن خود دریافت می‌کند.
•         ربات OTP با قربانی تماس می‌گیرد و یک اسکریپت از قبل آماده شده را دنبال می‌کند تا با او صحبت کند و کد را به اشتراک بگذارد.
•         قربانی بدون قطع تماس، کد تأیید گوشی خود را ارائه می‌دهد.
•         مهاجم کد را از طریق پنل مدیریت خود یا ربات تلگرام دریافت می‌کند.
•         مهاجم با وارد کردن OTP در وبسایت به حساب قربانی دسترسی پیدا می‌کند.

همانطور که مستحضر هستید، وظیفه کلیدی ربات OTP تماس با قربانی است. این تماس هایی است که کلاهبرداران روی آن حساب می‌کنند، زیرا کدهای تأیید فقط برای مدت محدودی معتبر هستند. گرچه ممکن است پیام برای مدتی بی پاسخ بماند، تماس با کاربر شانس دریافت کد را افزایش می‌دهد. تماس تلفنی همچنین فرصتی است برای تلاش و ایجاد تأثیر مطلوب بر روی قربانی با لحن صدا. طیف عملکرد ربات‌ها بطوریست که ممکن از یک اسکریپت که کاربر یک سازمان خاص را هدف قرار می‌دهد تا یک پیکربندی بسیار قابل تنظیم امتداد داشته باشد و همین به کلاهبرداران اجازه می‌دهد کل مرکز تماس را با ربات‌ها جایگزین کنند. توسعه‌دهندگان ربات با تلاش برای گنجاندن حداکثر ویژگی‌ها با قیمتی که ارزش را منعکس می‌کند، به رقابت می‌پردازند. به عنوان مثال، یک ربات OTP دارای بیش از ده‌ها ویژگی از جمله پشتیبانی فنی 24 ساعته، اسکریپت به زبان‌های مختلف، صدای زنانه و مردانه در دسترس و جعل تلفن است.

ربات های OTP معمولاً از طریق یک پنل ویژه مبتنی بر مرورگر یا یک ربات تلگرام مدیریت می‌شوند. بیایید به مثال نحوه اجرای ربات‌ها از طریق تلگرام نگاهی بیاندازیم:

1.      شما با خرید اشتراک شروع می‌کنید. بسته به ویژگی‌های ارائه شده گزینه‌های مختلفی وجود دارد. ارزان‌ترین طرح هفته‌ای 140 دلار و گران‌ترین آن، 420 دلار آمریکا در هفته به شما تعلق می‌گیرد. این ربات فقط با ارزهای دیجیتال پرداخت را می‌پذیرد.
2.      بعد از اینکه عضویت را پرداخت کردید به شما دسترسی به راه‌اندازی اولین تماس‌تان ارائه خواهد شد. شما معمولاً این کار را بعد از در اختیار گرفتن اطلاعات اکانت قربانی انجام می‌دهید اما قبل از تلاش برای SIGN IN به اکانت آن‌ها. ابتدا اسکمر انتخاب می‌کند بات می‌خواهد تقلید چه سازمانی را بکند. طبقه‌بندی‌های مختلفی وجود دارد: بانک‌ها، سیستم‌های پرداختی، فروشگاه‌های آنلاین، خدمات کلود، سرویس‌های تحویل، صرافی‌های کریپتو و خدمات ایمیل. گرچه تماس از بانک چیزی که قربانی انتظارش را دارد اما تماس از ذخیره‌گاه کلود یا ارائه‌دهده ایمیل چیزی نیست که آن را تماماً نرمال بدانیم! با این حال مهندسی اجتماعی می‌تواند برای حرف زدن با قربانی -جهت مجاب کردنش به دادن کد ارائه‌شده توسط هر نوع سازمانی- مورد استفاده قرار گیرد. تعداد زیادی دسته‌بندی مسلماً بیشتر از هر چیز دیگری، ترفند بازاریابی هستند: اسکمرها ممکن است تمایل داشته باشند به بات OTP که آپشن‌های بهتری دارد پول بدهند. بیشتر اوقات، بات‌ها برای دور زدن 2FA که سازمان‌های مالی الزامی کرده‌اند استفاده می‌شوند.
3.      بعد از انتخاب طبقه‌بندی، باید به طور دستی نام سازمانی را که بات می‌خواهد جعلش کند مشخص کنید.
4.      سپس نیاز است که نام قربانی را که می‌خواهید بات با آن تماس بگیرد ارائه دهید. این به شخصی‌سازی تماس کمک می‌کند.
5.      گام بعدی الزامی است: اسکمر شماره تلفن قربانی را برای میسر کردن تماس، اضافه می‌کند.
6.      اسکمر این گزینه را در اختیار دارد که چهار رقم آخر شماره کارت قربانی را –اگر در موردشان اطلاع داشته باشد- بدهد. این کار اعتماد قربانی را جلب می‌کند. ممکن است بپرسید تماس‌گیرنده چطور باید این شماره‌ها را بداند؟ می‌گویید تنها راه این است که کارمند بانک باشد، نه؟
7.      وقتی همه جزئیات پر شد، می‌توانید با گزینه‌های پیشرفته، تماس را سفارشی‌سازی کنید.

•         می‌توانید پروژه جعل را کلید بزنید. اما به شماره تلفن رسمی سازمانی که ربات OTP برای جعل هویت تنظیم شده است نیاز دارید. این شناسه تماس گیرنده است که هنگام دریافت تماس روی صفحه تلفن قربانی نمایش داده می‌شود. ربات از یک عدد تصادفی استفاده می‌کند مگر اینکه این ویژگی فعال باشد.
•         همچنین می‌توانید زبانی را برای ربات انتخاب کنید تا هنگام صحبت با قربانی از آن استفاده کند. این ربات به شما امکان می‌دهد از بین 12 زبان گروه های زبانی مختلف انتخاب کنید.
•         پس از اینکه کلاهبردار زبانی را انتخاب کرد، ربات پیشنهاد می‌کند که یک صدا را انتخاب کند. همه صداها با هوش مصنوعی تولید می‌شوند و می‌توانید صدای زن یا مرد را انتخاب کنید. شش نوع منطقه ای برای انگلیسی موجود است: ایالات متحده، بریتانیا، نیوزیلند، استرالیا، هند و آفریقای جنوبی.
•         ربات به شما امکان می‌دهد با وارد کردن یک شماره یکبار مصرف از استخر مهاجم، تماس آزمایشی برقرار کنید.
•         این ربات همچنین می‌تواند تشخیص دهد آیا تماس به پست صوتی هدایت می‌شود یا خیر. ربات در صورت وجود قطع می‌شود.
•         ربات OTP مورد بحث از اسکریپت‌های سفارشی پشتیبانی می‌کند. به عبارت دیگر، کلاهبردار قادر است اسکریپت‌های طراحی شده خود را برای تقلید از سازمان‌هایی که در دسترس نیستند، در میان گزینه‌های ارائه شده توسط ربات وارد کند. ربات این اسکریپت‌های سفارشی را هنگام تنظیم تماس صدا می‌کند.

8.      آخرین گام، برقراری تماس با مجموعه گزینه‌هاست.

گزینه‌های جذاب ارائه‌شده توسط سایر بات‌های OTP

همانطور که بالاتر توضیح دادیم، ویژگی‌های هر باتی با بات دیگر فرق دارد. جدا از آنچه پیشتر بررسی کرده‌ایم، چند قابلیت پیشرفته دیگر را در مورد بقیه بات‌های OTP مشاهده کرده‌ایم که در زیر فهرست نموده‌ایم:

•         ارسال یک پیام متنی به عنوان هشدار در مورد تماس قریب الوقوع کارمند شرکت خاص. این ترفند روانشناختی ظریف است که با هدف جلب اعتماد قربانی انجام می‌شود: قول دهید و سپس عمل کنید. علاوه بر این،  پیام آزاردهنده ممکن است قربانی را با نگرانی در انتظار تماس قرار دهد.
•         درخواست جزئیات دیگر در طول تماس، علاوه بر OTP. اینها ممکن است شامل شماره کارت و تاریخ انقضا، CVV، PIN، تاریخ تولد، شماره امنیت اجتماعی و غیره شود.

چطور اسکمرها به اطلاعات شخصی قربانی دست پیدا می‌کنند؟

از آنجایی که ربات برای سرقت کدهای 2FA طراحی شده است، استفاده از آن فقط در صورتی منطقی است که کلاهبردار قبلاً برخی از اطلاعات شخصی قربانی را داشته باشد: ورود به سیستم و رمز عبور حساب خود و همچنین حداقل شماره تلفن و نام کامل آنها. آدرس، مشخصات کارت بانکی، آدرس ایمیل و تاریخ تولد حداکثر. کلاهبرداران ممکن است این اطلاعات را از چند طریق دریافت کنند:

•         از داده‌های شخصی‌ای که در فضای آنلاین نشت شدند.
•         از مجموعه داده‌های خریداری‌شده از دارک‌وب.
•         از وبسایت‌های فیشینگ.

فیشینگ معمولاً شایع‌ترین روشی است که از طریقش، مهاجمین اقدام به دریافت آپدیت‌ترین اطلاعات شخصی می‌کنند. اسکمرها اغلب دنبال صرفه‌جویی در زمان و انرژی‌ و در عین حال دریافت بیشترین اطلاعات ممکن در طول یک حمله واحدند. ما به کیت‌های فیشینگ زیادی برخورد کردیم که هدفشان ظاهراً انواع بی‌ربطی از داده‌های شخصی بوده است. شاید یک کیت بانک را هدف بگیرد اما وقتی قربانی لاگین پسورد را بدهد، از او خواسته شود آدرس ایمیل و پسورد مربوطه را بدهد. اسکمر مجهز به داده و بات OTP حالا قادر است دست کم دو اکانت قربانی را هک کند. و اگر قربانی از ایمیلش برای احراز سایر وبسایت‌ها هم استفاده کرده باشد که مجرم حتی جولان بیشتری نیز خواهد داد!

فیشینگِ در لحظه

ما پیشتر در مورد کیت‌های فیشینگ نوشته‌ایم. آن‌ها را می‌توان از طریق پنل‌های مدیریت کنترل کرد. با افزایش محبوبیت 2FA، سازندگان کیت‌های فیشینگ، پنل‌های مدیریت خود را با افزودن قابلیت رهگیری OTPها اصلاح کردند. این به کلاهبرداران این امکان را می‌دهد که داده های شخصی قربانیان خود را در زمان واقعی دریافت کنند تا بلافاصله از آنها استفاده کنند. اینها حملات فیشینگ چند مرحله ای هستند که معمولاً از مراحل زیر تشکیل شده‌اند:

•         قربانی پیامی از مثلاً یک بانک دریافت می‌کند که از آنها می‌خواهد جزئیات حساب خود را به روز کنند. این پیام حاوی لینکی به وبسایت فیشینگ است.
•         قربانی لینک را باز م و لاگین و رمز عبور خود را وارد می‌کند. کلاهبردار این داده‌ها را از طریق تلگرام و پنل مدیریت دریافت می‌کند. آنها سعی دارند از این جزئیات برای ورود به حساب قربانی در وبسایت رسمی بانک استفاده کنند.
•         بانک یک OTP برای تأیید بیشتر به قربانی می‌فرستد. کلاهبردار از پنل مدیریت خود برای نمایش فرم ورود OTP در سایت فیشینگ استفاده می‌کند. پس از دریافت کد تأیید، آنها می‌توانند به حساب واقعی قربانی وارد شوند.
•         کلاهبردار ممکن است از قربانی جزئیات بیشتری بخواهد که ممکن است برای فعالیت های بیشتر در حساب قربانی به آن نیاز داشته باشد. بیشتر بانک‌ها از مشتریان خود می‌خواهند که جزئیات شخصی بیشتری را برای تأیید تراکنش‌هایی که مشکوک تشخیص می‌دهند ارائه کنند. این جزئیات ممکن است شامل شماره خانه، کلمه مخفی، شماره پاسپورت و غیره شود.
•         اسکمر سپس به کاربر می‌گوی جزئیات شخصی‌اش تأییده شده. در واقعیت، این جزئیات در پنل ادمین اسکمر ذخیره گشته و آن‌ها می‌توانند فوراً از این اطلاعات برای شروع خالی کردن جیب قربانی از طریق اکانت او استفاده کنند.

آمار

آمار تشخیص کیت فیشینگ بانکی ما می‌تواند به ارزیابی آسیب احتمالی ربات‌های OTP کمک کند. در ماه می 2024، محصولات ما از 69984 تلاش برای بازدید از سایت‌های ایجاد شده توسط این نوع کیت‌های فیشینگ جلوگیری کردند.

در طی پژوهش‌مان، 10 کیت فیشینگ چند منظوره را که برای رهگیری بلادرنگ OTPها استفاده می شد، از نزدیک بررسی نمودیم. در می 2024، فناوری ما 1262 صفحه فیشینگ تولید شده توسط کیت‌های مورد نظر را شناسایی کرد. اوج سطح در هفته اول ماه با افزایش فعالیت یکی از کیت‌های فیشینگ همزمان است.

یافته‌ها

گرچه 2FA روش محبوبی برای محافظت افزوده اکانت است اما می‌تواند دور زده شود. اسکمرها با استفاده از تکنیک و ترفندهای مختلف مانند بات‌های OTP و کیت‌های فیشینگ چند منظوره که با کمک پنل‌های ادمینی می‌توانند به صورت در لحظه مدیریت و کنترلشان کنند قادر هستند کدهای احراز را سرقت نمایند. در هر دو مورد، کاربر با وارد کردن کد یکبار مصرف روی پیج فیشینگ یا موقع تماس با بات OTP موافقت کرده و این توافق کاربر، عامل مهمدی در سرقت کد است! برای محافظت از اکانت‌های خود در برابر اسکمرها اقدامات زیر را به شما توصیه می‌کنیم:

•         از باز کردن لینک‌هایی که در پیام‌های ایمیل مشکوک دریافت می‌کنید خودداری کنید. اگر لازم است با سازمان وارد حساب خود شوید، آدرس را به صورت دستی وارد کنید یا از بوکمارک استفاده کنید.
•         قبل از اینکه اطلاعات کاربری خود را در آنجا وارد کنید، مطمئن شوید آدرس وبسایت صحیح است و اشتباه تایپی ندارد. از Whois برای بررسی وب سایت استفاده کنید: اگر اخیراً ثبت شده است، به احتمال زیاد با سایت کلاهبرداری طرف هستید.
•         در حین صحبت با تلفن، هرچقدر هم که تماس گیرنده قانع کننده به نظر می‌رسد، کد یکبار مصرف را تلفظ نکنید یا ارائه ندهید. بانک‌های واقعی و سایر شرکت ها هرگز از این روش برای تأیید هویت مشتریان خود استفاده نمی‌کنند.
•         از یک راهکار امنیتی قابل اعتماد که صفحات فیشینگ را مسدود می‌کند استفاده کنید.
  
  

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.