روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛  تصور کنید ایمیلی دریافت می‌کنید که در آن نوشته شده گوگل یک احضاریه رسمی دریافت کرده و قرار است محتوای حساب شما را در اختیار مراجع قانونی قرار دهد. ایمیل کاملاً شبیه پیام‌های رسمی گوگل است و حتی آدرس فرستنده هم معتبر به نظر می‌رسد: no-reply@accounts.google.com. کمی نگران‌کننده (یا حتی وحشت‌آور) نیست؟

عجب خوش‌شانسی‌ای! داخل ایمیل لینکی قرار دارد که شما را به صفحه پشتیبانی گوگل هدایت می‌کند تا اطلاعات بیشتری در این مورد دریافت کنید. دامنه لینک هم کاملاً قانونی به نظر می‌رسد و ظاهراً متعلق به خود گوگل است... خوانندگان دائمی وبلاگ ما احتمالاً تا اینجا حدس زده‌اند که با یک کمپین فیشینگ جدید روبه‌رو هستیم — و درست حدس زده‌اند. این بار کلاهبرداران از چندین سرویس واقعی گوگل سوءاستفاده می‌کنند تا قربانیان را فریب دهند و ایمیل‌ها را کاملاً قانع‌کننده جلوه دهند.

ماجرا از کجا شروع می‌شود؟
در پیام به کاربر اطلاع داده می‌شود که شرکت گوگل احضاریه‌ای دریافت کرده که خواستار دسترسی به اطلاعات حساب کاربری اوست.

فیلد "فرستنده" در ایمیل حاوی یک آدرس واقعی از گوگل است: no-reply@accounts.google.com — دقیقاً همان آدرسی که گوگل برای ارسال اعلان‌های امنیتی خود استفاده می‌کند. این ایمیل همچنین شامل جزئیاتی می‌شود که حس واقعی بودن را تقویت می‌کنند: یک شناسه حساب کاربری گوگل، شماره تیکت پشتیبانی و لینکی به پرونده.

و مهم‌تر از همه، در ایمیل گفته شده که اگر گیرنده می‌خواهد درباره محتوای پرونده بیشتر بداند یا به احضاریه اعتراض کند، می‌تواند روی لینکی کلیک کند. این لینک هم کاملاً معتبر به نظر می‌رسد — آدرس آن شامل دامنه رسمی گوگل و همان شماره تیکت پشتیبانی ذکرشده در ایمیل می‌شود. اما نکته‌ی حیاتی در یک تفاوت ظریف است: صفحه‌های پشتیبانی واقعی گوگل در دامنه support.google.com قرار دارند، اما این لینک قربانی را به سایتی در دامنه sites.google.com می‌برد. کلاهبرداران روی کاربرانی که یا متوجه این تفاوت نمی‌شوند یا دانش فنی کافی برای تشخیص آن ندارند حساب باز کرده‌اند.

اگر کاربر در آن لحظه وارد حسابش نشده باشد، کلیک روی لینک او را به صفحه ورود واقعی گوگل هدایت می‌کند. پس از ورود، کاربر به صفحه‌ای در دامنه sites.google.com منتقل می‌شود که به‌طور قانع‌کننده‌ای شبیه به سایت رسمی پشتیبانی گوگل طراحی شده است. نکته مهم اینجاست که دامنه sites.google.com در واقع متعلق به سرویس رسمی Google Sites است. این سرویس که در سال ۲۰۰۸ راه‌اندازی شد، یک ابزار ساده برای ساخت وب‌سایت است و در ظاهر چیز خاصی ندارد. اما نکته کلیدی درباره Google Sites این است که تمام سایت‌هایی که با استفاده از این پلتفرم ساخته می‌شوند، به‌صورت خودکار روی زیردامنه google.comمیزبانی می‌شوند — یعنی چیزی شبیه به: sites.google.com/yourpage.

مهاجمان می‌توانند از این ویژگی سوءاستفاده کنند: با استفاده از دامنه‌ای که ظاهراً قابل اعتماد است، هم کاربران را فریب می‌دهند و هم بسیاری از سیستم‌های امنیتی را دور می‌زنند — چون کاربران و ابزارهای امنیتی، معمولاً به دامنه‌های گوگل اعتماد دارند. جای تعجب ندارد که در سال‌های اخیر، Google Sites  به یکی از ابزارهای محبوب کلاهبرداران برای ساخت صفحات فیشینگ تبدیل شده است.

چگونه فیشینگ را تشخیص دهیم؟ جزئیات ایمیل را جدی بگیرید

اولین نشانه خطر در این نوع حملات، آدرسی است که برای صفحه پشتیبانی جعلی در نظر گرفته شده: sites.google.com.  اگرچه این آدرس واقعی و متعلق به گوگل است، اما گوگل برای پشتیبانی رسمی از دامنه support.google.com  استفاده می‌کند. این تفاوت ظریف، اما بسیار مهم است و می‌تواند شما را از افتادن در دام فیشینگ نجات دهد.

فیلدهایی که باید به آن‌ها توجه کنید عبارت‌اند از "from"، "to" و "mailed-by".

فیلد "from" در ظاهر مشکلی ندارد: فرستنده همان ایمیل رسمی گوگل است، یعنی no-reply@accounts.google.com.

اما جالب است که فیلد "to" که درست در زیر آن قرار دارد، آدرس واقعی گیرنده را نشان می‌دهد و این آدرس قطعاً مشکوک به نظر می‌رسد: me[@]googl-mail-smtp-out-198-142-125-38-prod[.]net. این آدرس تلاش می‌کند شبیه یک آدرس فنی متعلق به گوگل باشد، اما اشتباه تایپی در نام دامنه شرکت (Google) نشانه‌ای واضح از جعلی بودن آن است. علاوه بر این، این آدرس اصلاً نباید در این فیلد قرار داشته باشد — این فیلد باید شامل آدرس ایمیل گیرنده باشد. با ادامه بررسی سربرگ ایمیل، یک آدرس مشکوک دیگر در فیلد "mailed-by" دیده می‌شود. این آدرس کاملاً بی‌ارتباط با گوگل است: fwd-04-1.fwd.privateemail[.]com. باز هم چنین مواردی هیچ جایگاهی در یک ایمیل معتبر ندارند.

جای تعجب نیست که این نشانه‌های ظریف احتمالاً از چشم کاربران عادی پنهان می‌مانند — به‌ویژه زمانی که آن‌ها از بابت تهدیدات قانونی احتمالی دچار اضطراب شده‌اند. عامل گیج‌کننده دیگر این است که این ایمیل جعلی در واقع توسط گوگل امضا شده است: فیلد "signed-by" دامنه accounts.google.com را نشان می‌دهد.

در بخش بعدی این مطلب، توضیح خواهیم داد که مجرمان چگونه موفق به انجام این کار شده‌اند، و سپس به راه‌های جلوگیری از قربانی شدن خواهیم پرداخت.

بازسازی مرحله به مرحله حمله

برای درک دقیق نحوه ارسال چنین ایمیلی توسط مهاجمان و اهداف آن‌ها، پژوهشگران امنیت سایبری این حمله را بازسازی کردند. بررسی آن‌ها نشان داد که مهاجمان دامنه googl-mail-smtp-out-198-142-125-38-prod[.]net را از طریق Namecheap ثبت کرده‌اند (این دامنه اکنون غیرفعال شده است). سپس از همان سرویس برای راه‌اندازی یک حساب ایمیل رایگان در این دامنه استفاده کردند: me[@]googl-mail-smtp-out-198-142-125-38-prod[.]net.  همچنین مجرمان یک نسخه آزمایشی رایگان از Google Workspace را بر روی همین دامنه ثبت کردند. پس از آن، آن‌ها یک برنامه وب اختصاصی را در سیستم OAuth گوگل ثبت کردند و به آن دسترسی به حساب Google Workspace خود را دادند.

Google OAuth  فناوری‌ای است که به برنامه‌های وب طرف‌سوم اجازه می‌دهد از اطلاعات حساب گوگل برای احراز هویت کاربران (با رضایت آن‌ها) استفاده کنند. احتمالاً شما با Google OAuth آشنا هستید — همان سیستمی که هنگام کلیک روی گزینه "Sign in with Google" مورد استفاده قرار می‌گیرد. افزون بر این، برنامه‌ها می‌توانند با استفاده از OAuth اجازه ذخیره فایل درگوگل‌درایو یا دسترسی‌های دیگر را دریافت کنند. اما برگردیم به مجرمان. پس از ثبت یک برنامه در سیستم OAuth گوگل، این سرویس امکان ارسال اعلان به آدرس ایمیلی را که به دامنه تأییدشده مرتبط است، فراهم می‌کند. نکته جالب اینجاست که مدیر برنامه می‌تواند هر متنی را به دلخواه به‌عنوان نام برنامه وارد کند — و به نظر می‌رسد که مجرمان دقیقاً از همین قابلیت سوءاستفاده کرده‌اند. در اسکرین‌شاتی که پژوهشگران منتشر کرده‌اند، نشان داده شده که می‌توان برنامه‌ای با نامی مانند “Any Phishing Email Text Inject Here with phishing URLs…” ثبت کرد.

سپس گوگل یک هشدار امنیتی شامل متن فیشینگ از آدرس رسمی خود ارسال می‌کند. این ایمیل به آدرس ایمیل کلاهبرداران در دامنه‌ای می‌رود که از طریق Namecheap ثبت شده است. این سرویس امکان فوروارد (ارسال مجدد) اعلان‌های دریافتی از گوگل به هر آدرسی را فراهم می‌کند. تنها کاری که کلاهبرداران باید انجام دهند، تنظیم یک قانون فورواردینگ مشخص و تعیین آدرس‌های ایمیل قربانیان احتمالی است.

و اما راهکارهای امنیتی

کاملاً مشخص نیست که مهاجمان در این کمپین فیشینگ دقیقاً به دنبال چه چیزی بودند. استفاده از احراز هویت Google OAuth به این معنا نیست که اطلاعات ورود به حساب گوگل قربانی در اختیار کلاهبرداران قرار می‌گیرد. این فرآیند تنها یک توکن تولید می‌کند که بسته به مجوزهایی که کاربر تأیید کرده و تنظیماتی که کلاهبرداران پیکربندی کرده‌اند، دسترسی محدودی به داده‌های حساب کاربر فراهم می‌کند. صفحه جعلی پشتیبانی گوگل که کاربر فریب‌خورده به آن هدایت می‌شود، به‌گونه‌ای طراحی شده بود که کاربر را متقاعد کند برخی «اسناد قانونی» را کهظاهراًمربوط به پرونده‌اش است، دانلود کند. ماهیت این اسناد مشخص نیست، اما احتمالاً حاوی کدهای مخرب بوده‌اند.

پژوهشگران این کمپین فیشینگ را به گوگل گزارش دادند. این شرکت نیز آن را به عنوان یک خطر بالقوه برای کاربران به رسمیت شناخت و اعلام کرد که در حال کار روی رفع آسیب‌پذیری موجود در OAuth است. با این حال، مشخص نیست این مشکل چه زمانی برطرف خواهد شد.

در این میان، برای اینکه قربانی این نوع حملات فیشینگ پیچیده نشوید، به نکات زیر توجه کنید:

• در صورت دریافت ایمیلی مشکوک، آرامش خود را حفظ کنید. ابتدا تمام بخش‌های هدر ایمیل را با دقت بررسی کرده و آن‌ها را با ایمیل‌های واقعی گوگل که احتمالاً در صندوق ورودی‌تان دارید مقایسه کنید. اگر تفاوتی مشاهده کردید، بدون تردید آن را حذف کنید.
• نسبت به وب‌سایت‌هایی که در دامنه google.com اما با استفاده از Google Sites ساخته شده‌اند محتاط باشید. اخیراً کلاهبرداران از این سرویس برای اجرای انواع مختلف حملات فیشینگ سوءاستفاده می‌کنند.
• به طور کلی، از کلیک کردن روی لینک‌های داخل ایمیل خودداری کنید.
• از یک راهکار امنیتی قوی استفاده کنید که هشدارهای به‌موقع در مورد تهدیدها ارائه داده و لینک‌های فیشینگ را مسدود کند.
  
  

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.