گزارش‌ها

مراقب اسپم‌های تأییدیه پرداخت «شرکت‌های هواپیمایی» باشید!

این هرزنامه‌ها باعث گسترش تروجان‌های مالی می‌شوند.

مهاجمان سایبری از طریق اسپم‌های تاییدیه پرداخت می‌توانند به اعتبارات بانکی و اطلاعات ورود به حساب شما دسترسی پیدا کنند. اخیراً کلاهبرداران اینترنتی با روشی جدید از طریق نرم‌افزارهای مخرب مالی و بانکی برای آلوده کردن رایانه شما وارد عمل شده‌اند.

این فرایند از آنجا شروع می‌شود که کاربران هرزنامه‌هایی را با عنوان تأییدیه پرداخت از طرف شرکت‌های هواپیمایی دریافت می‌کنند.

شرکت هواپیمایی دلتا درتابستان سال گذشته توسط مجرمان سایبری مورد سوءاستفاده قرار گرفت و از نام این شرکت برای ارسال اسپم‌ها استفاده کردند. به همین دلیل در این گزارش از نام این شرکت هواپیمایی به عنوان نمونه‌ای از سایر شرکت‌ها استفاده می‌شود.

جالب است بدانید که انتخاب این روش که ایمیل آلوده را در قالب یک ایمیل از طرف شرکت هواپیمایی پنهان کنند و برای شما بفرستند، تصادفی نیست. زیرا مهاجم سایبری خیلی خوب می‌داند که در این وقت از سال یعنی فصل تابستان، بسیاری از مسافران، به دنبال این هستند که بلیط پرواز را با نرخی تخفیف خورده برای مسافرت تابستانی خود خریداری کنند.

ایمیل زیر یک فیشینگ ارسالی توسط یک هکر خرابکار است.

اسپم‌های تأییدیه پرداخت

چند مورد در این ایمیلِ فیشینگ دیده می‌شود که نشانه جعلی بودن آن می‌باشد:

  • آدرس ایمیل معتبر نیست؛ زیرا باید با عبارت “delta.com@” به پایان برسد نه با “deltaa@“.
  • اطلاعاتی در مورد پرواز وجود ندارد. معمولاً ایمیل تأییدیه شرکت‌های هواپیمایی، باید حاوی اطلاعاتی درباره پروازی که رزرو کرده‌اید، باشد، در حالی‌که این ایمیل چنین چیزی ندارد و فقط با برانگیختن حس کنجکاوی‌تان، شما را به کلیک بر روی یک لینک تشویق می‌کند.
  • فرمت تصویری این ایمیل، متفاوت از ایمیل‌های شرکت هواپیمایی دلتا است.

به ‌عنوان مثال، در اینجا یک ایمیل از شرکت هواپیمایی دلتا را مشاهده می‌کنید که قانونی و معتبر به نظر می‌رسد:

ایمیلِ فیشینگ
درحالی‌که هیچ تراکنش واقعی صورت نگرفته است! این ایمیل به شکلی طراحی‌شده است که این ترس و اضطراب را در شما به وجود بیاورد که فردی دیگر با استفاده از هویت شما یک بلیط هواپیما را خریداری نموده است. به همین دلیل، شما با دیدن آن، ممکن است وحشت‌زده شده و بر روی یکی از لینک‌های موجود در آن کلیک کنید تا بدانید چگونه یک شخص دیگر می‌تواند یک خرید غیرمجاز را با اعتبار شما انجام دهد.

کلیک بر روی این لینک‌ها، شما را به چند وب‌سایت خطرناک که در آن‌ها اسناد و فایل‌های متنی آلوده به بدافزار هنکیتور (Hancitor) قرار دارند، هدایت می‌کند.

Hancitor یک تروجان چندمنظوره است که اغلب در حملات فیشینگ مورد استفاده قرار می‌گیرد و در ابتدا یک رایانه را آلوده می‌کند، سپس مثل یک پل برای دریافت بیشتر بدافزارها از طریق عملیات دانلود عمل می‌کند.

اگر شما فایل مخرب و آلوده متنی را دانلود کرده و آن را باز کنید، هنکیتور فعال خواهد شد و با استفاده از یک کد پاورشل (PowerShell) ، فرایندهای مجاز سیستم‌عامل رایانه شما را آلوده می‌کند. پس از آن، کامپیوتر شما به یک یا چند سرور کنترل و فرمان (C & C) مخرب متصل می‌شود.

پاورشل(PowerShell):

این امکان را در اختیار کاربران قرار می‌دهد تا با استفاده از زبان برنامه‌‌نویسی سی شارپ، دستورات و اسکریپت‌های خود را ایجاد کنند. زبان سی شارپ و پاورشل هر دو با فریم‌ورک دات‌نت مایکروسافت هماهنگی دارند و همین موضوع باعث می‌شود تا دسترسی به توابع موجود و بسیاری از ابزارها به‌منظور ایجاد دستورات و اسکریپت‌های بهتر در دسترس‌تر و راحت‌تر باشد. پاورشل دارای امکانات بسیار پیشرفته‌ای است که استفاده از این ابزار نسبتاً جدید را در مقایسه با دستور پرامپت در زمینه‌هایی نظیر مدیریت و نگهداری سیستم بسیار سهل‌تر می‌کند. PowerShell مانند CMD یک محیط خط فرمان است (Command-Line Shell) و تقریباً هر کاری که با CMD انجام می‌دهید با PowerShell نیز می‌توانید انجام دهید.

همچنین با یک زبان اسکریپت نویسی بر پایه NET Framework[.] آمیخته‌ شده‌است. اما اصل قدرت PowerShell به انجام کارهایی است که با آن می‌توانید انجام دهید ولی با CMD نمی‌توانید انجام دهید و یا به‌سختی می‌توانید انجام دهید‌! PoweShell بیش‌تر از ۱۳۰ ابزار خط فرمانی که cmdlets نوشته می‌شود و (command-Lets) خوانده می‌شود، را شامل  می‌شود.‌

سپس در مرحله بعد، این سرورهای کنترل و فرمان (C & C)، بدافزارهای مخرب اضافی را که از خانواده بدافزارهای پونی (Pony) هستند بر روی رایانه شما دانلود می‌کنند.

بدافزار پونی به‌طور خاص برای سرقت اطلاعات حساس مانند رمز عبورها و نام کاربری از VPNها، مرورگرهای وب، FTP، برنامه‌های پیام‌رسانی و بسیاری دیگر از این قبیل سرویس‌ها و برنامه‌ها طراحی‌شده است.

FTP ‌یکی از قدیمی‌ترین پروتکل‌های اینترنت می‌باشد که هنوز هم کاربرد زیادی دارد و در سال ۱۳۵۹ در اینترنت توسعه یافت. FTP مخفف File Transfer Protocol می‌باشد که یک پروتکل استاندارد در TCP/IP است. مانند HTTP که محتوای وب را منتقل می‌کند یا SMTP که ایمیل‌ها را منتقل می‌کند FTP  هم ساده‌ترین راه برای تبادل فایل از یک کامپیوتر به کامپیوتر دیگر می‌باشد. یکی از کاربردهای FTP‌، دانلود موزیک و برنامه‌های کاربردی از وب‌سایت‌ها می‌باشد. به خاطر استفاده این پروتکل از یک پورت مجزا که پورت شماره ۲۱ است عمل دانلود بسیار سریع انجام می‌شود. مانند آدرس‌های وب‌سایت‌ها، FTP ‌هم آدرس مخصوص خود را دارد چون همانند یک وب‌سایت، این پروتکل بر روی هارددیسک کامپیوتر سرور فضای مشخصی را اشغال می‌کند.‌

علاوه بر همه این‌ها، سرورهای کنترل و فرمان ‌(C&C)‌، بدافزار دیگری با نام زد‌لودر (Zloader) را که بر پایه بدافزارهای پونی کار می‌کند نیز بر روی رایانه شما دانلود کرده و در تمام رایانه‌تان پخش می‌کنند. برخلاف بدافزار پونی، “زد لودر” یک بدافزار مالی می‌باشد که برای خالی کردن حساب بانکی و دزدیدن اطلاعات مالی شما طراحی‌شده است.

زمانی که عملیات سرقت اطلاعات شما تکمیل شد، بدافزار به مجموعه‌ای دیگر از سرورهای کنترل و فرمان متصل می‌شود و تمامی اطلاعات مالی و اعتباری شما را برای آن‌ها ارسال می‌کند.

مراقب باشید؛ همه این اتفاقات تلخ ممکن است برای شما هم اتفاق بیافتد!

با یک اشتباه و کلیک کردن روی یک ایمیل فیشینگ تمام این اتفاقات برای قربانیان و دریافت کنندگان ایمیل‌های تاییدیه پرداخت بلیط‌های اینترنتی شرکت هواپیمایی دلتا افتاد. این فقط یک نمونه از اسپم‌هایی است که ممکن است مجرمان سایبری از آن استفاده کنند.

بنابراین باز هم مثل همیشه توصیه می‌کنیم که به امنیت آنلاین خود بیشتر اهمیت دهید و شناسایی اسپم‌ها و راههای سوءاستفاده مجرمان سایبری از آنها را بیاموزید.

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

10 − 3 =

دکمه بازگشت به بالا