برو به محتوای اصلی پس‌کوچه
دانلود پس‌کوچه

هکرهای ایرانی به دنبالِ اطلاعات کاربران تلگرام و اینستاگرام

صفحه‌ی اصلی

گروه امنیتی تالوس (Talos) وابسته به سیسکو (Cisco) در گزارش اخیر خود به ۳ حمله‌ی مختلف علیه کاربران تلگرام و اینستاگرام پرداخته است. به گفته‌ی تالوس نشانه‌ی قوی‌ای از ارتباط این حمله‌ها به همدیگر موجود نیست. این سه حمله شاملِ توزیع اپلیکیشن‌های دستکاری شده برای افزایش مخاطب در تلگرام و اینستاگرام، فیشینگ برای دزدی اکانت‌های تلگرام و سرویس‌های دیگر و هم‌چنین دزدی ترافیکِ تلگرام با استفاده از پروتکل BGP است.

اپلیکیشن‌های ناخواسته

از اولین نمونه‌ی حمله علیه کاربران می‌توان به اپلیکیشن‌های متعددی برای گوشی‌های اندرویدی و آیفون اشاره کرد که کارکرد اصلی‌شان افزایش مخاطب، افزایش لایک و مانند آن است اما بررسی‌ها نشان می‌دهد که سازندگان اپلیکیشن‌ها هم‌زمان اطلاعات مهم کاربران را جمع‌آوری می‌کنند. اطلاعات جمع‌آوری شده شامل رمز عبور نمی‌شود اما هم‌چنان می‌توانند امکان کنترلِ حساب کاربری را به سازندگان اپلیکیشن بدهند. علاوه بر این، نام کاربری و اطلاعات گوشی افراد هم به سِرورهای مرکزی ارسال می‌شود.

گزارش تالوس نشان می‌دهد که اپلیکیشن‌های متعددی مانند «فالوئر بگیر اینستاگرام» و «عضو بگیر» که همگی محصول گروه ایرانی اندرومدا (Andromedaa) است، در کنار کارایی ادعایی خود، اطلاعات کاربران را سرقت می‌کنند. با توجه به شرایط این اپلیکیشن‌ها، تالوس آن‌ها را بدافزار ندانسته و در دسته‌ی «اپلیکیشن‌های ناخواسته» قرار داده است.

قابل ذکر است که دسترسی گروهِ اندرومدا به حسابِ کاربران، می‌تواند خطر زیادی را برای کاربران به همراه داشته باشد. مراجع قانونی ایران نمی‌توانند به راحتی به اطلاعات کاربران ایرانی تلگرام و اینستاگرام دست پیدا کنند، اما در صورتی که این اطلاعات در اختیار یک شرکت ایرانی باشد، دسترسی به آن‌ها بر اساس قوانین داخلی ایران راحت‌تر خواهد بود.

صفحه‌های فیشینگ

این بخش از گزارش تالوس درباره‌ی صفحه‌های تقلبی ورود به سرویس‌های مختلف از حمله‌ی تلگرام است که برای دزدی از نام کاربری و رمز عبورِ کاربران ایرانی تهیه شده‌اند. بر اساس شواهد موجود در گزارش، این حمله‌ها مرتبط با فعالیت‌های هکرهای طرفدار حکومت ایران، معروف به چارمینگ کیتن (Charming Kitten)، است. گزارش‌های دیگری هم از فعالیتِ این گروه هکری در سال‌های اخیر منتشر شده است. زیرساخت استفاده شده برای ساخت و توزیع این سایت‌های تقلبی، نشان از فعالیت گسترده و هدفدار این گروه برای دسترسی ب حساب‌های تلگرام و سایر سرویس‌ها مانند Hangouts گوگل دارد.

دزدی ترافیک تلگرام

این نمونه حمله‌ها که ما نیز پیش از این در نوشته‌ی دیگری به تفصیل درباره‌ی آن‌ها نوشته‌ایم، با سو استفاده از پروتکل کنترلِ مسیریابی بهینه‌ی ترافیک اینترنت بین سیستم‌های خودمختار (Autonomous Systems - AS)، صورت می‌گیرد و بنا به گفته‌ی تالوس، نیازمند نوعی از همکاری شرکت‌های سرویس‌دهنده‌ی اینترنت (ISP) است. گزارش‌ها نشان می‌دهد که حداقل در دو تاریخ، ۳۰ ژوئن و ۳۰ ژوئیه، مسیریابی اشتباهی در ایران اعلام شده و اصلاح آن بیش از دو ساعت زمان برده است. در رفتار غیرطبیعی اول، ترافیک آدرس‌هایی در لهستان به سمت آدرس‌های شرکت مخابرات ایران منحرف شد.

در رفتار غیرطبیعی دیگر که مهمتر از اولی بود، از همان منبع پیشین آدرس‌های اشتباهی به کاربران اعلام شد. در طی این دزدی ترافیک، برخی IPهای سرویس تلگرام به جای سِرورهای تلگرام به سمت زیرساخت‌هایی در ایران مسیردهی شد. به گفته‌ی تالوس، هرچند که غیرممکن است تا هدف واقعی این دزدی ترافیک را اعلام کرد اما ارسال ۴ پیام تبلیغ آدرسِ اشتباه به صورت هم‌زمان که همگی متعلق به تلگرام بوده‌اند، غیرطبیعی است.

مجموعه حملات مستقل و یا وابسته به حکومت، نشان از اهمیت سرویس‌هایی مانند تلگرام و اینستاگرام در ایران دارد. هرچند کاربران نمی‌توانند از حملات دزدی ترافیک پیشگیری کنند اما نصب اپلیکیشن‌ها از منابع معتبر، عدم نصب اپلیکیشن‌های غیرضروری و یا دستکاری شده و غیررسمی، و دقت به آدرس وب‌سایت‌هایی که بازدید می‌کنند پیش از وارد کردن نام کاربری و رمز عبور، می‌تواند به شکل قابل ملاحظه‌ای خطرات گفته شده در این گزارش را کاهش دهند.

منبع خبر: https://blog.talosintelligence.com/2018/11/persian-stalker.html

❤️ تیم پس‌کوچه

اپ اندروید پس‌کوچه را دانلود کنید

دانلود
بازگشت به بالا