روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ به‌تازگی، تنها با چند روز فاصله، موزیلا (سازمان پشتیبان مرورگر فایرفاکس) و تیم مدیریت شاخص بسته‌های پایتون (PyPI) هشدارهای مشابهی درباره حملات فیشینگ منتشر کردند. مهاجمان ناشناس تلاش می‌کنند توسعه‌دهندگان پایتون با حساب کاربری در pypi.org و سازندگان افزونه‌های فایرفاکس با حساب کاربری در addons.mozilla.org  را با هدایت به سایت‌های جعلی، فریب داده و اطلاعات ورود آن‌ها را سرقت کنند. از این رو، به توسعه‌دهندگان نرم‌افزارهای متن‌باز (نه فقط کاربران PyPI و AMO)توصیه می‌شود هنگام کلیک روی لینک‌های دریافتی از طریق ایمیل، نهایت دقت را داشته باشند.

این دو حمله لزوماً به هم مرتبط نیستند (روش‌های فیشینگ کمی متفاوت‌اند)، اما در مجموع نشان‌دهنده افزایش علاقه مجرمان سایبری به مخازن کد و فروشگاه‌های برنامه هستند. احتمالاً هدف نهایی آن‌ها اجرای حملات زنجیره تأمین یا فروش اطلاعات کاربری به دیگر مجرمان برای انجام چنین حملاتی است. چرا که با دسترسی به حساب کاربری یک توسعه‌دهنده، مهاجمان می‌توانند کدهای مخرب را در بسته‌ها یا افزونه‌ها تزریق کنند.

جزئیات حمله فیشینگ علیه توسعه‌دهندگان  PyPi

ایمیل‌های فیشینگ ارسال‌شده به کاربران شاخص بسته‌های پایتون (PyPi) به آدرس‌هایی فرستاده می‌شوند که در متادیتای بسته‌های منتشرشده در سایت درج شده‌اند. عنوان ایمیل‌ها شامل عبارت "[PyPI] Email verification" می‌شود. این ایمیل‌ها از دامنه‌ای با نشانی @pypj.org ارسال می‌شوند که تنها با یک حرف با دامنه اصلی @pypi.org تفاوت دارد — یعنی استفاده از حرف j به جای i کوچک. در متن ایمیل گفته می‌شود که توسعه‌دهندگان باید برای تأیید آدرس ایمیل خود روی لینکی کلیک کنند که آن‌ها را به سایتی با ظاهر تقلیدشده از PyPi منتقل می‌کند. جالب اینجاست که این سایت فیشینگ نه‌تنها اطلاعات ورود قربانی را جمع‌آوری می‌کند، بلکه آن‌ها را به سایت واقعی نیز منتقل می‌کند تا پس از پایان فرآیند جعلی "تأیید"، کاربر وارد حساب واقعی‌اش شده و اغلب متوجه سرقت اطلاعات خود نمی‌شود. تیم مدیریت PyPi توصیه می‌کند هر کسی که روی این لینک کلیک کرده، بلافاصله رمز عبور خود را تغییر دهد و همچنین بخش"Security History"  حساب خود را بررسی کند.

جزئیات حمله فیشینگ علیه حساب‌های  addons.mozilla.org

 ایمیل‌های فیشینگ ارسال‌شده به توسعه‌دهندگان افزونه‌های فایرفاکس شبیه ایمیل‌هایی هستند که از سوی موزیلا یا مستقیماً از AMO ارسال می‌شوند. مضمون این پیام‌ها این است که کاربر برای ادامه استفاده از امکانات توسعه‌دهنده، باید اطلاعات حساب خود را به‌روزرسانی کند. بر اساس نمونه‌ای که یکی از دریافت‌کنندگان منتشر کرده، مهاجمان حتی زحمت جعل آدرس فرستنده را به خود نمی‌دهند — ایمیل از یک حساب معمولی جیمیل ارسال شده است. همچنین از برخی نظرات پیداست که گاهی فیشینگ‌ها حتی نام Mozilla را اشتباه نوشته‌اند و یکی از حروف l را جا انداخته‌اند.

راهکارهای امنیتی

توسعه‌دهندگان باید نسبت به ایمیل‌هایی که شامل لینک به چنین سایت‌هایی هستند، نهایت دقت را داشته باشند. باید دامنه‌ای که ایمیل از آن ارسال شده و همچنین لینک‌هایی که خواسته می‌شود روی آن‌ها کلیک شود را بررسی کنند. حتی اگر ایمیل معتبر به‌نظر برسد، بهتر است آدرس سایت را به‌صورت دستی وارد کرده یا از بوکمارک‌های ذخیره‌شده قبلی استفاده شود. همچنین توصیه می‌شود همه دستگاه‌هایی که برای کار استفاده می‌شوند به راهکارهای امنیتی مجهز باشند تا در صورت کلیک تصادفی روی لینک، از باز شدن سایت فیشینگ جلوگیری شود. برای شرکت‌هایی که توسعه‌دهندگان نرم‌افزارهای متن‌باز را به‌کار گرفته‌اند، توصیه می‌شود از راهکارهای ضد فیشینگ در سطح درگاه ایمیل استفاده کنند. همچنین آموزش دوره‌ای کارکنان برای شناسایی روش‌های جدید فیشینگ می‌تواند بسیار مؤثر باشد — حتی متخصصان با‌تجربه IT هم ممکن است فریب بخورند. این آموزش‌ها را می‌توان از طریق پلت‌فرم آنلاینKaspersky Automated Security Awareness Platform انجام داد.

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.