مراقب اسپمهای تأییدیه پرداخت «شرکتهای هواپیمایی» باشید!
این هرزنامهها باعث گسترش تروجانهای مالی میشوند.
مهاجمان سایبری از طریق اسپمهای تاییدیه پرداخت میتوانند به اعتبارات بانکی و اطلاعات ورود به حساب شما دسترسی پیدا کنند. اخیراً کلاهبرداران اینترنتی با روشی جدید از طریق نرمافزارهای مخرب مالی و بانکی برای آلوده کردن رایانه شما وارد عمل شدهاند.
این فرایند از آنجا شروع میشود که کاربران هرزنامههایی را با عنوان تأییدیه پرداخت از طرف شرکتهای هواپیمایی دریافت میکنند.
شرکت هواپیمایی دلتا درتابستان سال گذشته توسط مجرمان سایبری مورد سوءاستفاده قرار گرفت و از نام این شرکت برای ارسال اسپمها استفاده کردند. به همین دلیل در این گزارش از نام این شرکت هواپیمایی به عنوان نمونهای از سایر شرکتها استفاده میشود.
جالب است بدانید که انتخاب این روش که ایمیل آلوده را در قالب یک ایمیل از طرف شرکت هواپیمایی پنهان کنند و برای شما بفرستند، تصادفی نیست. زیرا مهاجم سایبری خیلی خوب میداند که در این وقت از سال یعنی فصل تابستان، بسیاری از مسافران، به دنبال این هستند که بلیط پرواز را با نرخی تخفیف خورده برای مسافرت تابستانی خود خریداری کنند.
ایمیل زیر یک فیشینگ ارسالی توسط یک هکر خرابکار است.
چند مورد در این ایمیلِ فیشینگ دیده میشود که نشانه جعلی بودن آن میباشد:
- آدرس ایمیل معتبر نیست؛ زیرا باید با عبارت “delta.com@” به پایان برسد نه با “deltaa@“.
- اطلاعاتی در مورد پرواز وجود ندارد. معمولاً ایمیل تأییدیه شرکتهای هواپیمایی، باید حاوی اطلاعاتی درباره پروازی که رزرو کردهاید، باشد، در حالیکه این ایمیل چنین چیزی ندارد و فقط با برانگیختن حس کنجکاویتان، شما را به کلیک بر روی یک لینک تشویق میکند.
- فرمت تصویری این ایمیل، متفاوت از ایمیلهای شرکت هواپیمایی دلتا است.
به عنوان مثال، در اینجا یک ایمیل از شرکت هواپیمایی دلتا را مشاهده میکنید که قانونی و معتبر به نظر میرسد:
درحالیکه هیچ تراکنش واقعی صورت نگرفته است! این ایمیل به شکلی طراحیشده است که این ترس و اضطراب را در شما به وجود بیاورد که فردی دیگر با استفاده از هویت شما یک بلیط هواپیما را خریداری نموده است. به همین دلیل، شما با دیدن آن، ممکن است وحشتزده شده و بر روی یکی از لینکهای موجود در آن کلیک کنید تا بدانید چگونه یک شخص دیگر میتواند یک خرید غیرمجاز را با اعتبار شما انجام دهد.
کلیک بر روی این لینکها، شما را به چند وبسایت خطرناک که در آنها اسناد و فایلهای متنی آلوده به بدافزار هنکیتور (Hancitor) قرار دارند، هدایت میکند.
Hancitor یک تروجان چندمنظوره است که اغلب در حملات فیشینگ مورد استفاده قرار میگیرد و در ابتدا یک رایانه را آلوده میکند، سپس مثل یک پل برای دریافت بیشتر بدافزارها از طریق عملیات دانلود عمل میکند.
اگر شما فایل مخرب و آلوده متنی را دانلود کرده و آن را باز کنید، هنکیتور فعال خواهد شد و با استفاده از یک کد پاورشل (PowerShell) ، فرایندهای مجاز سیستمعامل رایانه شما را آلوده میکند. پس از آن، کامپیوتر شما به یک یا چند سرور کنترل و فرمان (C & C) مخرب متصل میشود.
پاورشل(PowerShell):
این امکان را در اختیار کاربران قرار میدهد تا با استفاده از زبان برنامهنویسی سی شارپ، دستورات و اسکریپتهای خود را ایجاد کنند. زبان سی شارپ و پاورشل هر دو با فریمورک داتنت مایکروسافت هماهنگی دارند و همین موضوع باعث میشود تا دسترسی به توابع موجود و بسیاری از ابزارها بهمنظور ایجاد دستورات و اسکریپتهای بهتر در دسترستر و راحتتر باشد. پاورشل دارای امکانات بسیار پیشرفتهای است که استفاده از این ابزار نسبتاً جدید را در مقایسه با دستور پرامپت در زمینههایی نظیر مدیریت و نگهداری سیستم بسیار سهلتر میکند. PowerShell مانند CMD یک محیط خط فرمان است (Command-Line Shell) و تقریباً هر کاری که با CMD انجام میدهید با PowerShell نیز میتوانید انجام دهید.
همچنین با یک زبان اسکریپت نویسی بر پایه NET Framework[.] آمیخته شدهاست. اما اصل قدرت PowerShell به انجام کارهایی است که با آن میتوانید انجام دهید ولی با CMD نمیتوانید انجام دهید و یا بهسختی میتوانید انجام دهید! PoweShell بیشتر از 130 ابزار خط فرمانی که cmdlets نوشته میشود و (command-Lets) خوانده میشود، را شامل میشود.
سپس در مرحله بعد، این سرورهای کنترل و فرمان (C & C)، بدافزارهای مخرب اضافی را که از خانواده بدافزارهای پونی (Pony) هستند بر روی رایانه شما دانلود میکنند.
بدافزار پونی بهطور خاص برای سرقت اطلاعات حساس مانند رمز عبورها و نام کاربری از VPNها، مرورگرهای وب، FTP، برنامههای پیامرسانی و بسیاری دیگر از این قبیل سرویسها و برنامهها طراحیشده است.
FTP يکي از قدیمیترین پروتکلهای اينترنت میباشد که هنوز هم کاربرد زيادي دارد و در سال ۱۳۵۹ در اينترنت توسعه يافت. FTP مخفف File Transfer Protocol میباشد که يک پروتکل استاندارد در TCP/IP است. مانند HTTP که محتواي وب را منتقل میکند يا SMTP که ایمیلها را منتقل میکند FTP هم سادهترین راه براي تبادل فايل از يک کامپيوتر به کامپيوتر ديگر میباشد. يکي از کاربردهای FTP، دانلود موزيک و برنامههاي کاربردي از وبسایتها میباشد. به خاطر استفاده اين پروتکل از يک پورت مجزا که پورت شماره 21 است عمل دانلود بسيار سريع انجام میشود. مانند آدرسهای وبسایتها، FTP هم آدرس مخصوص خود را دارد چون همانند يک وبسایت، اين پروتکل بر روي هارددیسک کامپيوتر سرور فضاي مشخصي را اشغال میکند.
علاوه بر همه اینها، سرورهای کنترل و فرمان (C&C)، بدافزار دیگری با نام زدلودر (Zloader) را که بر پایه بدافزارهای پونی کار میکند نیز بر روی رایانه شما دانلود کرده و در تمام رایانهتان پخش میکنند. برخلاف بدافزار پونی، “زد لودر” یک بدافزار مالی میباشد که برای خالی کردن حساب بانکی و دزدیدن اطلاعات مالی شما طراحیشده است.
زمانی که عملیات سرقت اطلاعات شما تکمیل شد، بدافزار به مجموعهای دیگر از سرورهای کنترل و فرمان متصل میشود و تمامی اطلاعات مالی و اعتباری شما را برای آنها ارسال میکند.
مراقب باشید؛ همه این اتفاقات تلخ ممکن است برای شما هم اتفاق بیافتد!
با یک اشتباه و کلیک کردن روی یک ایمیل فیشینگ تمام این اتفاقات برای قربانیان و دریافت کنندگان ایمیلهای تاییدیه پرداخت بلیطهای اینترنتی شرکت هواپیمایی دلتا افتاد. این فقط یک نمونه از اسپمهایی است که ممکن است مجرمان سایبری از آن استفاده کنند.
بنابراین باز هم مثل همیشه توصیه میکنیم که به امنیت آنلاین خود بیشتر اهمیت دهید و شناسایی اسپمها و راههای سوءاستفاده مجرمان سایبری از آنها را بیاموزید.