روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ توسعه‌دهندگان نرم‌افزار را دست‌کم می‌توان کاربران پیشرفته‌ی کامپیوتر دانست؛ پس می‌شود فرض کرد احتمال اینکه حمله سایبری را زودتر تشخیص دهند و آن را خنثی کنند بیشتر است. اما تجربه نشان می‌دهد هیچکس تماماً به مهندسی اجتماعی مقاوم نیست- مایه‌اش یک رویکرد درست و درمان است. برای افراد حرفه‌ای حوزه آی‌تی، چنین رویکردی ممکن است شامل آفر شغلی پردرآمد در یک شرکت سرشناس باشد. دنبال کردن شغل رویاها حتی گارد توسعه‌دهندگان آب‌دیده را هم می‌اندازد و تبدیل‌شان می‌کند به کودکانی که با قاقالیلی ذوق می‌کنند! و تارگت اصلی (بهتر است بگوییم همان قربانی) حمله ممکن است کارفرمای فعلی‌شان باشد. اخیراً نقشه جدیدی آمده که در آن هکرها کامپیوتر توسعه‌دهنده‌ها را به اسکریپت بک‌دری در پوشش تست کدگذاری آلوده می‌کنند. این رخدادی ایزوله نیست بلکه جدیدترین تکرار یک تاکتیک خوش‌ساخت است. هکرها سال‌هاست از جاب آفرهای تقلبی برای هدف قرار دادن متخصصین آی‌تی استفاده می‌کنند و در برخی موارد هم به موفقیت‌های بزرگی دست یافتند. شاید فکر کنید عواقبش باید گریبان فرد خاصی را بگیرد اما در جهان امروز، بسیار احتمال دارد که توسعه‌دهنده از همان کامپیوتر برای هر دو کار اصلی و تست کدگذاری برای پوزیشن شغلی جدیدش استفاده کند. در نتیجه نه تنها داده‌های شخصی خودش که داده‌های سازمانی هم در معرض قرار می‌گیرد.

آگهی استخدام جعلی، گیم کریپتویی و سرقت 540 میلیون دلاری

یکی از بدنام‌ترین موارد آگهی‌های استخدامی که برای مقاصد شرورانه استفاده شد به سال 2022 برمی‌گردد. هکرها تصمیم گرفتند به مهندس ارشد Sky Mavis (شرکت پشت بازی کریپتویی Axie Infinity) تماس بگیرند (احتمالاً با لینکدین با او ارتباط گرفتند) و پیشنهاد سمت کاری با دستمزد بالا بدهند. کارمند که از این پیشنهاد سرخوش شده بود با اشتیاق همه مراحل استخدامی را که هکرها ترتیبش را داده بودند طی کرد. به طور طبیعی همه اینها در یک "پیشنهاد شغلی" که به عنوان یک فایل PDF ارسال شد به اوج خود رسید. داکیومنت آلوده بود. زمانی که کارمند Sky Mavis آن را دانلود و باز کرد، نرم افزارهای جاسوسی به شبکه شرکت نفوذ کردند. هکرها بعد از اسکن زیرساخت شرکت، تصمیم گرفتند کلیدهای خصوصی 5 اعتباردهنده را روی بلاک‌چین داخلی Axie Infinity به نام رابین به دست بیاورند. با این کلیدها، توانستند کنترل تام دارایی‌های رمزارز را که در کیف‌پول‌های شرکت ذخیره‌شده بود در دست گیرند. این به یکی از بزرگ‌ترین سرقت‌های کریپتوی قرن تبدیل شد. هکرها موفق به سرقت 173600 ETH و 25500000 USDC شدند که در زمان سرقت حدود 540 میلیون دلار ارزش داشت.

آگهی‌های استخدامی تقلبی بیشتر، بدافزارهای بیشتر

در سال 2023، چندین کمپین مقیاس بالا کشف شد که در آن‌ها جاب‌آفرهای تقلبی برای آلوده کردن توسعه‌دهنده‌ها، کارمندان رسانه و حتی متخصصین امنیت سایبری به جاسوس‌افزار استفاده شدند. یکی از سناریوهای حمله بدین شرح است: فردی خود را استخدام‌گر شرکت بزرگ فناوری جا می‌زند و از طریق لینکدین با فرد طعمه تماس می‌گیرد. بعد از کمی گپ و گفت و مقدمه‌چینی، تارگت فرصت شغلی جذابی دریافت می‌کند. با این حال، برای رسیدن به این شغل او باید با تکمیل یک تست، توانایی‌های خود را در کدینگ نشان دهد. تست در قالب فایل قابل‌اجرا در فایل‌های ایزو که از لینک ارائه‌شده دانلود می‌شود از راه می‌رسد. قربانی با اجرای این فایل‌های قابل اجرا کامپیوتر خود را به NickelLoader آلوده می‌کند؛ بدافزاری که سپس یکی از دو بک‌در  miniBlindingCan یا LightlessCan را نصب می‌کند. در سناریوی دیگر، مهاجمین راه خود را به عنوان استخدام‌گر در لینکدین قربانی باز کرده و به آرامی صحبت را به واتس‌اپ می‌کشانند. در نهایت فایل وردی را با شرح وظایف سمت جدید ارسال می‌کنند. همانطور که می شود حدس زد، فایل حاوی ماکرویی مخرب است که بک‌در PlankWalk را روی کامپیوتر قربانی نصب می‌کند. سویه دیگری از حمله هم هست که کاربران لینوکسی را هدف قرار می‌دهد (یک آرشیو مخرب با عنوان HSBC job offer.pdf.zip). داخل آرشیو، فایل قابل‌اجرایی بود در پوشش داکیومنت پی‌دی‌اف. جالب است بدانید در این مورد، برای ماسکه کردن افزونه اصلی و حقیقی فایل، مهاجمین از سمبل عجیبی استفاده کردند: بهش می‌گفتند رهبر یک نقطه‌ای (U+2024). این سمبل به چشم انسان شبیه یک دوره منظم می‌آید اما کامپیوتر آن را کاراکتر تماماً متفاوتی می‌خواند. وقتی باز شد، این فایل شرح کار پی‌دی‌افی فیک را نشان می‌دهد درحالیکه در پس‌زمینه دارد بدافزار  OdicLoader را (که کارش نصب بک‌در SimplexTea روی کامپیوتر قربانی است) لانچ می‌کند.

کدینگ تقلبی با تروجان روی گیت‌هاب

یک سویه دیگری از حمله استخدامی فیک کشف شده که شروع مشابهی دارد. مهاجمین به کارمند شرکت هدف زنگ می‌کنند و وانمود می‌کنند استخدام‌گر بوده و دنبال توسعه‌دهنده هستند. وقتی حرف مصاحبه می‌شود، ازقربانی می‌خواهند تست کدینگ انجام دهد. اما برخلاف سویه‌های قبلی، این بار فایل مستقیم ارسال می‌شود. مهاجمین توسعه‌دهنده را به ذخیره گیت‌هاب هدایت می کنند؛ جایی که فایل ذخیره ‌شده است. خود فایل یک آرشیو زیپ است حاوی پروژه ظاهر بی‌گناهِ Node.js. اما یک جزء این پروژه در خود رشته به طور نامعمول بلندی دارد که طوری فرمت شده که موقع سریع اسکرول کردن نادیده گرفته شود. این رشته خطر پنهانی در خود دارد: کدی به شدت مبهم‌سازی‌شده که مرحله اول حمله را شکل می‌دهد. وقتی قربانی پروژه مخرب را اجرا می‌کند، این کد، کد مرحله بعد را دانلود، آن‌پک و اجرا می‌کند. مرحله بعدی فایل پیتون است بدون افزونه با نقطه‌ای در شروع نام فایل که به سیستم عامل ندا می‌دهد فایل، پنها نشده. این اسکریپت مرحله بعدی حمله را شروع می‌کند-  اسکریپت پیتون دیگری حاوی کد بک‌در. از این رو کامپیوتر قربانی به بدافزاری آلوده می‌شود که می‌تواند ارتباط مستمر با سرور فرمان و کنترل را حفظ کند، دستورات سیستم فایل را برای مکان‌یابی و سرقت اطلاعات حساس اجرا، بدافزارهای اضافی را دانلود کند، داده‌های کلیپ‌بورد را به سرقت ببرد، ضربه‌های کلید را ثبت و داده‌های جمع‌آوری‌شده را به مهاجمان ارسال کند.  مانند سایر تغییرات این طرح، هکرها روی قربانی با استفاده از رایانه کاری خود برای تکمیل "مصاحبه" و اجرای "تست" حساب می کنند. این به هکرها اجازه می دهد تا به زیرساخت شرکت مورد نظر دسترسی پیدا کنند. تاریخ ثابت کرده اقدامات بعدی آنها می‌تواند متفاوت باشد: از نرم افزار تروجان سازی توسعه‌یافته توسط شرکت قربانی گرفته تا سرقت مستقیم وجوه از حساب‌های سازمان، همانطور که در مورد Sky Mavis در ابتدای این مقاله ذکر شد.

راهکارهای امنیتی

همانطور که بالاتر اشاره کردیم، هیچ لایه دفاعی غیرقابل‌نفوذی برای مهندسی اجتماعی وجود ندارد. در واقع اگر مهاجم قصد کند این رویکرد را اتخاذ کند، هر کسی می‌تواند آسیب‌پذیر شود. با این حال می‌شود با اقدامات زیر کار را برای مهاجمین به شدت چالش‌برانگیز و سخت کرد:

-         بالا بردن میزان آگاهی کارمندان- شامل توسعه دهندگان در مورد تهدیدهای سایبری- با آموزش‌های خاص. برگزاری چنین آموزش‌هایی با پلت‌فرم آموزشی ما به نام Kaspersky Automated Security Awareness Platform بسیار آسان می‌شود.

-         استفاده از راهکار امنیتی مطمئن روی همه دستگاه‌های سازمانی. اگر منابع و مهارت داخلی محدود است از سرویس خارجی مانند Kaspersky Managed Detection and Response استفاده کنید.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.