کلاهبرداری آن هم به روش تمدید نرمافزار!
یکی از ایدههای ساده و کارآمد برای کلاهبرداری که توسط هکرها مورد استفاده قرار میگیرد، سوءاستفاده از مشتریان یک برند خاص (مثل Malwarebytes) به بهانه تمدید نرمافزار است. هکرها در این روش، فاکتور جدیدی را که مبلغ سنگینی هم دارد برای مشتری مدنظرشان ارسال میکنند. این فاکتور مربوط به محصولی میباشد که مشتری در گذشته آن را تهیه کرده است.
اولین اقدام اشتباهی که ممکن است مشتری انجام دهد تماس با شماره درج شده در فاکتور و اعتراض به دریافت آن به جای پیگیری از طریق نهادهای قانونی است. اقدام اشتباه بعدی، ارایه مجوز دسترسی از راه دور به مهاجمان توسط مشتری است. مشتری چنین کاری را به این امید انجام میدهد که هکرها محصول مدنظر را حذف کرده و مانع از ایجاد هزینههای بیشتر شوند. در این مطلب از فراست، بعضی از روشهایی که در این حمله توسط مهاجمان استفاده می شوند را بررسی میکنیم.
اعلانهای تمدید جعلی
یکی از کلاهبرداریهایی که به این روش صورت گرفته، سوءاستفاده از برند “Malwarebytes” است. هکرها در این حمله ابتدا یک ایمیل برای مشتریان این برند ارسال کردند. این ایمیل به همراه یک فاکتور، به بهانه تمدید محصول ارسال شد و در آن اعلام شده بود که پرداخت این مبلغ به صورت خودکار از طریق کارت های بانکی مشتریان انجام می شود. مبلغ فاکتور نیز حدود 400 دلار بود که نسبت به آنچه معمولاً دریافت میشود بسیار زیاد است.
کلاهبرداران از قربانیان درخواست میکردند که در اسرع وقت، در خصوص مشکل به وجود آمده با آنها تماس بگیرند. کاربران نیز در حالی که مشغول صحبت با هکرها بودند از حساب بانکی یا گردش حساب کارت بانکیشان غافل میشدند. سازوکار چنین طرحی تقریباً شبیه فرایند ایجاد سرنخ یا مشتری راغب[1] (که یکی از اصطلاحات بازاریابی است) میباشد.
دسترسی از راه دور و سخنرانی فروش
هکرها به قربانیان وعده میدهند برای برگشت وجه ابتدا باید سرویسی که بر روی رایانه آنها نصب شده است، حذف شود. آنها در مرحله اول از قربانیان میخواهند وارد یک وبسایت خاص (مثلاً Zfix[.]tech که نرمافزارهایی برای دسترسی از راه دور در آن قرار دارد) شده تا کارمند فنی شرکت بتواند به رایانه آنها دسترسی پیدا کند. سپس از قربانی درخواست میشود نرمافزار [2]TeamViewer را دانلود و نصب نموده و شناسه و کلمه عبور اتصال از راه دور به رایانهاش را در آن وارد کند.
همزمان که قربانی در حال صحبت با مهاجمان و اجرای درخواستهای آنها است، هکرها به صورت مخفیانه برنامه [3]SupRemo را دانلود و نصب میکنند تا بتوانند دسترسیشان به رایانه قربانی را همچنان حفظ کنند. بنابراین حتی اگر قربانی از TeamViewer خارج شود مهاجمان باز هم میتوانند در هر زمانی که خواستند به رایانه قربانی متصل شده و به منابع و اطلاعات مورد نیازشان دسترسی یابند.
از آنجا که ایمیل «تمدید استفاده از محصول» جعلی است بنابراین مهاجمان باید راهی پیدا کنند تا در هر صورت شما را مجبور به پرداخت فاکتور جعلی ارسالی نمایند.
سپس مهاجمان در برنامه Notepad که از جمله ابزارهای محبوبشان است، هشدارهایی را به شما درباره مخاطرات عدم تمدید سرویس میدهند. آنها تمام تلاش خود را میکنند تا شما را قانع نمایند از این به بعد رایانهتان آنطور که باید کار نکند!
قفل کردن سیستم
شواهد نشان میدهد که مهاجمان در مراحل مختلف، سیستم قربانی را قفل میکنند. آنها معمولاً از ابزار ویندوز SysKey برای درج کلمه عبوری که فقط خود قربانی آن را میداند استفاده میکنند. البته در این مورد آنها از یک رویکرد متفاوت نیز استفاده کردند. مهاجمان در پشت صحنه، یک اسکریپت VBS را بر روی سیستم قربانی دانلود نموده و آن را در پوشه Startup سیستم قرار دادند.
پوشه Startup یک مکان برای بارگذاری برنامه ها بوده و کدهایی که در هنگام بارگذاری ویندوز اجرا میشوند را فعال میکند. از این رو امکان سوءاستفاده از آن به راحتی وجود دارد. سپس مهاجمان از قربانیان درخواست میکنند برای تکمیل فرایند حذف، سیستم را یکبار خاموش و دوباره روشن کنند.
قربانی پس از یکبار روشن و خاموش کردن رایانه خود یک هشدار درباره منسوخ شدن کلید مجوز ویندوز دریافت میکند. این هشدار تا زمانی که قربانی بر روی دکمه OK کلیک کند، نمایش داده میشود. پس از کلیک قربانی بر روی گزینه OK، چند پنجره در مرورگر وی باز میشود. این پنجرهها نشاندهنده وجود بدافزار بر روی سیستم وی هستند.
اگر قربانی در این مرحله برای دریافت کمک وسوسه شده و با شمارهای که در اختیار او قرار گرفته تماس بگیرد باید صدها دلار پول به کلاهبرداران پرداخت کند.
در ادامه، روش امنی را به شما معرفی میکنیم که با استفاده از آن میتوانید وضعیت سیستم تان را به حالت اولیه بازگردانید.
اسکریپت قفل کردن سیستم را غیرفعال کنید.
پیش از انجام هر اقدامی باید اتصال سیستم به اینترنت را قطع کرده و سپس یکسری اقدامات را برای غیرفعال کردن اسکریپت VBS انجام دهید. این اقدامات شامل موارد زیر هستند:
- Ctrl+Alt+Delete را گرفته؛
- گزینه Task Manager را انتخاب کرده؛
- به بخش Microsoft Windows Based Script Host رفته؛
- و گزینه End task را انتخاب نمایید.
همچنین برای حذف این اسکریپت از روی سیستم تان می بایست اقدامات زیر را انجام دهید:
- بر روی More details در Task Manager کلیک کنید.
- بر روی عبارت Run new task کلیک نمایید.
- در کادر باز شده، عبارت explorer را تایپ کنید.
حالا دوباره به دسکتاپ سیستم تان رفته و به مسیر زیر بروید:
C:\Users\[your username]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
در این مسیر، فایل WIN LICENSE.vbs را حذف کنید.
چگونه کلاهبرداران را شناسایی کنیم؟
در حال حاضر با استفاده از ابزارهایی همچون “HYAS Insight” میتوانیم درباره مهاجمان اطلاعاتی را کسب نموده و هویت آنها را مشخص کنیم. پس از انجام تحقیقات و بررسیهای لازم مشخص شد که Aman Deep Singh Sethi هویت ثبت شده برای دامنه zfix[.]tech بوده و aman.techsquadonline@gmail[.]com آدرس ایمیل مربوط به این شخص است.
سپس متخصصان امنیتی شماره [+9]19810996265 را به دست آورده و با استفاده از آن به اطلاعات بیشتری درباره کلاهبردار دست پیدا کردند. Swinder Singh نام شخصی میباشد که با Deep Singh Sethi همکاری داشته است. این کلاهبرداران خودشان را به عنوان مدیران شرکت Lucro Soft pvt که در دهلی نو سکونت دارند، با آدرس زیر جا زده بودند:
14/28, F/F SUBHASH NAGAR NEW DELHI West Delhi DL 110027
اگرچه این شرکت در سال 2018 میلادی تأسیس شده اما این کلاهبرداران، حداقل از سال 2015 میلادی مشغول به فعالیت بوده و در طول این سال ها از چندین نام دامنه و هویت مختلف برای دستیابی به اهداف مخربشان استفاده کردهاند. تیمهای امنیتی توانستند این زیرساخت را مسدود نموده و گزارش آن را به نهادهای قانونی ارسال کردند.
از آنجا که میزان حملات سایبری و سوءاستفاده از کاربران و مشتریان برندهای معروف به این شیوه اخیراً رواج زیادی یافته، تاکنون آمار رسمی از تعداد قربانیان احتمالی ارایه نشده است. کلاهبرداری در پوشش تیم های پشتیبانی متأسفانه در سال های اخیر به شدت شایع شده است. البته شرکت های امنیتی همواره مهاجمان را زیرنظر داشته و گام های مثبتی در جهت کمک به قربانیان انجام دادهاند. تیمهای امنیتی معمولاً از یک ماشین مجازی که توسط @NeeP ساخته شده و رفتار یک کاربر معمولی را شبیهسازی میکند برای انجام تحقیقات خود استفاده میکنند.
کاربران Malwarebytes میتوانند برای آگاهی در خصوص تمدید دوره استفاده از محصولات این شرکت، از طریق وب سایت رسمی آن با کارشناسان مربوطه در تماس باشند.
نشانه های نفوذ
شماره تلفن های:
1[-]833[-]966[-]2310
1[-]954[-]800[-]4124
1[-]909[-]443[-]4478
1[-]877[-]373[-]2393
1[-]800[-]460[-]9661
1[-]325[-]221[-]2377
1[-]800[-]674[-]5706
1[-]855[-]966[-]6888
1[-]877[-]373[-]2393
1[-]866[-]504[-]0802
ایمیلهای:
aman.techsquadonline@gmail[.]com
aman.bigrock1@gmail[.]com
aman.bigrock2@gmail[.]com
aman.bigrock3@gmail[.]com
نام های دامنه:
help-live[.]us
live-support[.]us
quick-help[.]us
network-security-alerts[.]com
cyberonservices[.]com
zfix[.]tech
2fix[.]tech
cybersmart[.]xyz
live-support[.]us
safebanking[.]biz
classifiedlookup[.]com
quickhelpdesk[.]in
cyberonservices[.]com
support247live[.]us
help-live[.]us
2fix[.]tech
cmdscan[.]info
rrlivehelp[.]com
delvelogic[.]us
quickhelpdeskk[.]us
quick-help[.]us
quickhelpdeskk[.]us
amazondevicesupports[.]xyz
live-online-support[.]info
help365[.]us
cyberonservices[.]com
rightassists[.]com
yahoomailhelplinenumber[.]com
hotmailhelplinenumber[.]com
webroot-support-number[.]com
[1] افرادی که با فروشندگان و مالکان کسب و کارها تماس گرفته و از آنها استعلام قیمت میکنند یا در مورد محصول خاصی از آنها اطلاعات جمع آوری می کنند، نمونهای از سرنخ یا مشتریان راغب هستند.
[2] این نرمافزار امکان دسترسی به سیستم مدنظر را از را دور میدهد.
[3] یک نرمافزار قوی برای دسترسی به رایانهها و کنترل آنها از راه دور است.
منبع: malwarebytes