Facebook
۶ اردیبهشت ۱۳۹۷

استفاده از مهندسی اجتماعی برای فریب کاربران فیس بوک

در چند ماه گذشته یکی از کاربران آنتی ویروس avast با تیم پشتیبانی این نرم افزار تماس می گیرد و گزارش دریافت تعدادی پیام از فردی غریبه در فیس بوک را می دهد. این پیام ها ظاهراً از سوی یک حساب کاربری جعلی منسوب به یک خانم ارسال شده بود. بررسی های بیشتر توسط تیم پژوهش avast صورت گرفت سرنخ ها ما را به سه پروفایل جعلی رساند که البته این پروفایل‌ها، متعلق به خانم ها بودند،  که بعد از مدتی برقراری ارتباط در فیس بوک، آقایان را تشویق به دانلود یک برنامه چت (پیام رسان) دیگر می‌نمودند تا مکالمه را ادامه دهند. طی بررسی های انجام شده مشخص گردید برنامه چت پیشنهادی که زن ها به آن اشاره می کردند جاسوسی بوده، این برنامه نسخه جعلی یکی از پیام‌رسان‌های معروف در بین کودکان و جوانان کانادایی است. اپلیکیشن پیشنهادی، پیام رسان جعلی Kik بود که در وب‌سایتی به ظاهر معتبر قرار داشت. بعد از تحلیل و بررسی جعلی بودن اپ پیام رسان Kik بعنوان یک جاسوس افزار و یک تهدید پیشرفته و مداوم  نشانه گذاری شد. نام آن "جاسوس افزار وسوسه انگیز سدار"  انتخاب شد. همچنین به سایر پیام رسان های جعلی نگاهی انداختیم در همه آنها از ماژول های مخرب یکسان استفاده شده بود. در بررسی ها همچنین کشف شد که این کاربر، تنها شخص مواجه شده با برنامه جاسوسی نبوده و متاسفانه بسیاری از افراد در این دام افتاده بودند. جاسوس افزار وسوسه انگیز سدار برای دزدیدن اطلاعاتی نظیر مخاطبین، گزارشات تماس، SMS، تصاویر، حتی اطلاعات دستگاه مثل موقعیت جغرافیایی بمنظور ردیابی جابجایی ها، طراحی شده بود و حتی قادر بود صداهای اطراف را، مکالمات صوتی قربانی را تا زمانی که در محدوده بود، ضبط کند. براساس این سرنخ ها از پروفایل های فیسبوک جعلی و کمپین زیرساخت آن، می‌شود به موقعیت مکانی نشر آن پی برد. کمپین بسیار هدفمند و عمیق زیر نظر قرار گرفته بود. در یک لحظه Avast یکی از معدود آنتی ویروس های موبایل بود که این تهدید را شناسایی نمود. یافته  ما تروجان Android:SpyAgent-YP [Trj] بود. با توجه به پتانسیل بالای آلوده شدن قربانی ها با این بدافزار، با سازمان های اجرایی قانونی ارتباط گرفته شد تا بتوانیم مخاطرات ناشی از انتشار این بدافزار را کاهش دهیم. بدافزار با استفاده از پروفایل‌های جعلی فیس بوک توزیع شده و بعد از آلوده شدن سیستم‌ها مکالمه‌های کثیف با قربانی ها آغاز می‌شد که البته بیشتر آنها شبیه مردان جوان بودند. مهاجمان در ابتدا درخواست می کنند در یک پلت فرم "امن و شخصی" دیگری به مکالمه ادامه دهند. سپس مهاجمان یک لینک برای قربانی ارسال می کنند که حاوی وب سایت فیشینگ هست و میزبان نسخه جاسوس افزار اپلیکیشن جعلی پیام رسان Kik است. قربانی ها اجازه نصب برنامه از منابع ناشناس را می‌دهند پیش از آنکه پیام رسان جعلی را نصب نمایند، این عمل خود به تنهایی پرچم قرمز را بالا می آورد تا شاید قربانی متوجه جاسوس افزار وسوسه انگیز شود. در همان ابتدا که بدافزار نصب می شود فورا به سرور دستور و کنترل متصل می‌شود. این بدافزار جاسوسی استفاده گسترده ای را حداقل در بین سه پروفایل جعلی دارد. یک نکته جالب توجه این بود که این سه دختر از طریق فیس بوک به هم مرتبط بودند، شاید به هم متصل شده بودند تا قابل اعتماد شوند. جاسوس افزار وسوسه انگیز سدار به دو ماژول مجزا با دستورات خاص تقسیم شده است. ماژول های متعددی برای جمع آوری اطلاعات شخصی قربانی‌ها وجود دارد. این اطلاعات مانند پیام ها، گزارش تماس ها، مخاطبین، تصاویر، اپراتورهای شبکه، مختصات جغرافیایی که همه در تصویر زیر آمده است: سایر ماژول ها برای ضبط صدا ها و یا دسترسی به سیستم فایل دستگاه آلوده به کار گرفته شده است. این جاسوس افزار به عنوان یک سرویس بعد از هر بار ریبوت مجددا اجرا می گردد. برنامه جعلی Kik شامل همان کلاس آلوده به نام eighty9.guru و یک فایل rsdroid.crt خاص است که در طول دامنه دستور و کنترل قرار می‌گیرد. گام های لازم برای محافظت در برابر جاسوس افزار در این بخش نکات کوچکی برای اجتناب از دانلود چنین جاسوس افزارهایی ارائه می شود: استفاده از آنتی ویروس. حتی اگر به صورت تصادفی بدافزاری را دانلود نمودید، از آنتی ویروس به روز برای شناسایی و در امان ماندن داده های شخصی خود استفاده نمایید. با افراد غریبه صحبت نکنید. این همان دلیلی است که والدین برای فرزندانشان نگران هستند که مبادا کودکانشان با افراد غریبه صحبت کنند. در دنیای مجازی نیز تفاوتی ندارد و باید از صحبت با افراد غریبه اجتناب نمود. هرگز لینک های ارسالی از منابع ناشناس را باز نکنید یا نرم افزاری را که از منابع ناشناس دانلود می کنید نصب نکنید. قربانیان کمپین جاسوس افزار سدار برای دانلود آن فریب خورده بودند زیرا آنها به دخترانی که از طریق فیس بوک آشنا شده بودند اعتماد داشتند، درصورتیکه هرگز آن افراد را از نزدیک ندیده بودند. بالاتر از همه اینکه آنها هشدار اندروید را مبنی بر دانلود اپلیکیشن هایی از منابع ناشناس را نادیده گرفته بودند. از منبع اصلی دانلود کنید. هر زمان که ممکن است صفحه خانگی کمپانی اصلی را مستقیماً ( به تنهایی با تایپ URL ) ببینید. آنها اغلب اپلیکیشن های موبایل خود را در وب سایتشان قرار می دهند. اگر حتی قربانیان این کار را هم انجام می دادند از اپلیکیشن Kik آلوده و جعلی اجتناب می کردند. شاید دختران از ادامه صحبت با آنها خودداری می کردند اما برای خودشان این امر بهتر بود.

منابع

وب سایت خبری avast.com