«جعل هویت» همچنان در صدر حمله‌های سایبری

بر اساس داده‌هایی که «گروه میان» جمع آوری کرده است، همچنان و بیش از یک سال پس از اعتراضات «زن،زندگی،آزادی» بزرگترین و هماهنگ‌ترین کمپین جعل هویت و فیشینگ علیه فعالان جامعه مدنی در داخل و خارج از ایران در حال انجام است.

«گروه میان» پیش‌تر در گزارشی نتیجه تحقیق و مستندسازی بیش از صد حمله سایبری به روزنامه‌نگاران، فعالان جامعه مدنی و مدافعان حقوق اقلیت‌های قومی و مذهبی در داخل و خارج از ایران را در سال ۲۰۲۳ میلادی منتشر کرده بود. 

در خلال این تحقیقات «گروه میان» دریافت که موفقیت‌آمیز بودن کمپین‌های جعل هویت و فیشینگ برای هکرها در حمله به سازمان‌ها و فعالین جامعه مدنی، که در گزارش منتشر شده «گروه میان» در تاریخ ۹ آذر به تفصیل در مورد آن توضیح داده شده است، آن‌ها را مجاب کرده که دامنه استفاده از این روش را در حملات مشابه گسترش دهند.

یافته‌های گروه میان نشان می‌دهد این گروه‌های هکری که از روش جعل هویت و فیشینگ استفاده می‌کنند مورد حمایت دولت ایران هستند. گروه‌های هکری موردنظر با جعل هویت افراد واقعی که در اندیشکده‌ها و سازمان‌های معتبر بین‌المللی مشغول به کار هستند با قربانیان خود ارتباط می‌گیرند. در گزارش دیگری که مایکروسافت منتشر کرده نیز دقیقا به همین روشی اشاره می‌شود که گروه میان در اطلاعات دریافتی خود به آن‌ها رسیده است. 

خلاصه اجرایی

در این روش مهاجمان با جعل هویت یک فرد واقعی که در یک سازمان معتبر کار می‌کند، در مورد رخدادی، وارد گفت‌وگو می‌شوند که شباهتی به موارد پیشین دارد و بعد از جلب اعتماد سوژه حمله هکری، لینک فیشینگ را از طریق «لینکی تغییر نام داده شده» برای قربانی می‌فرستند. 

عموما مهاجمان تنها به دست‌یافتن به اطلاعات قربانی اکتفا نکرده، پس از در اختیار گرفتن کنترل حساب ایمیل قربانی، ایمیل‌هایی را برای شبکه ارتباطی او، همراه با لینک فیشینگ می‌فرستند تا بتوانند به اطلاعات افراد بیشتری دست پیدا کنند.

یافته‌های کلیدی

۱. گروه هدف این حملات، سازمان‌های حقوق بشری و آموزشی و اعضای آن‌ها است که دوره‌های آموزشی در مورد آگاهی‌بخشی در مورد حقوق شهروندی، صنفی و حقوق بشری به شهروندان عادی و فعالان اجتماعی و سیاسی  ارایه می‌کنند که ممکن است در ایران زندگی کنند. 

۲. مهاجمان از روش «مهندسی اجتماعی» برای این حملات استفاده کرده‌اند. آن‌ها از پیام‌های قانع‌کننده و دقیقی برای شکار قربانیان خود استفاده کرده‌اند. مکالمات به زبان انگلیسی است. فردی که برای جعل نام، از آن استفاده کرده‌اند فردی حقیقی است که جست‌وجو در رابطه با او در اینترنت، به نتایج دقیقی منتهی می‌شود. اشاره‌ها و ارجاعات پیام‌های مهاجمان کاملا دقیق است و به اتفاقاتی در ایران اشاره دارد که برای سوژه این حمله هکری، قابل فهم و قانع‌کننده است. 

۳. مهاجمان از زمان‌بندی دقیقی نیز استفاده کرده‌اند. به این معنی که پیام مشابه‌ای را به بیشتر اعضای یک سازمان مشخص در روز شنبه (روز تعطیل) ارسال کرده‌اند. انتخاب این روز از این جهت مهم است که موجب می‌شود اعضای سازمان با همدیگر ارتباط نداشته باشند و در نتیجه نمی‌توانند برای اقدامات خود با هم هماهنگ شوند و این فرصت را به مهاجم می‌دهد تا با وارد آوردن فشار احساسی در مورد حساسیت موضوع، سوژه حمله را قانع کند تا بر روی لینک فیشینگ که برای مثال «یک لینک گوگل درایو حاوی اطلاعات» است، کلیک کند.

۴. این حملات، یافته‌های قبلی را تایید می‌کند که دولت ایران عملیات اطلاعاتی منبع‌باز (OSINT) خود را بهبود بخشیده است، زیرا می‌تواند درباره اهداف خود تحقیق کرده و اطلاعاتی مانند نام، وابستگی‌های سازمانی، علایق یا فعالیت‌های آن‌ها را جمع‌آوری کند. سپس از این اطلاعات برای ساخت حملات مهندسی اجتماعی موثرتر و متقاعدکننده‌تر استفاده کند. در گزارشی که مایکروسافت اخیرا منتشر کرده کشورهای ایران، روسیه، چین و کره شمالی را متهم به استفاده از هوش مصنوعی LLM جهت شناسایی شغل، مکان‌ها و روابط مخالفان حکومت خود کرده است.

۵. مهاجمان مکالمات خود برای جلب نظر سوژه را از پلتفرم واتساپ شروع کرده‌اند اما در ادامه و بعد از هک کردن ایمیل اولین قربانی، برای ارتباط با دیگر افراد شبکه ارتباطی او از طریق ایمیل ادامه داده‌اند. 

۶. مهاجمان بعد از هک کردن حساب قربانی سعی کرده‌اند تا به دیگر حساب‌های متصل به ایمیل قربانی دست پیدا کنند. به همین ترتیب حساب لینکدین او نیز هک شده است.

تجزیه و تحلیل حوادث

در تاریخ ۱۶ دی ماه ۱۴۰۲ فردی با عنوان جنیفر گولد به بیشتر اعضای یک سازمان آموزشی در پیام‌رسان واتساپ پیامی می‌فرستد تحت عنوان اینکه از طریق کانال‌هایی در ایران به اطلاعات پزشکی دختری ۲۱ ساله دست پیدا کرده که توسط نیروهای جمهوری اسلامی به شکل شدیدی ضرب و شتم شده است. این فرد خود را عضو سازمان RAND معرفی کرده است و گفته می‌خواهد این اطلاعات را با قربانی به اشتراک بگذارد.

وقتی نام «جنیفر گولد» را در اینترنت جست‌وجو می‌کنیم دقیقا به مشخصات یک فرد واقعی با همین نام می‌رسیم و با همین تصویر که عضو سازمان RAND است. این سازمان یک سازمان تحقیقاتی غیرانتفاعی معتبر است که برای ایجاد جهانی امن‌تر، سالم‌تر و بهتر راه‌حل‌هایی را برای مناقشات مختلف در جهان ارایه می‌دهد. خانم گولد در این سازمان طبق بررسی‌های موجود، معاون مدیرعامل است. 

مهاجمان در توصیف دختر مورد ضرب و شتم قرار گرفته از وضعیت آرمیتا گراوند وام گرفته‌اند. آن‌ها بدون اشاره مستقیم به آرمیتا گراوند تلویحا وضعیت را طوری توصیف می‌کنند که برای سوژه این حمله هکری وضعیت آرمیتا گراوند تداعی شود. 

مهاجم لینک فیشینگ را در ظاهر  گوگل داک در می‌آورد تا نشان دهد لینکی که فرستاده‌ است امن است و بدین‌ترتیب قربانی را فریب می دهد و کنترل ایمیل وی را بدست می‌گیرد. 

مهاجم بعد از دسترسی به حساب ایمیل قربانی، سعی در هک کردن اکانت‌های دیگر او که به این ایمیل متصل هستند، می‌کند و به همین ترتیب حساب لینکدین او را نیز هک می‌کند. 

بررسی دستگاهی که به حساب لینکدین قربانی تا پیش از امن شدن آن متصل بوده و همچنین بررسی لینک فیشینگی که استفاده کرده است؛ نشان می‌دهد مهاجم از یک «آی پی رنج» مشترک و یا به عبارتی از یک مکان و یک دستگاه مشترک برای دسترسی و هک قربانی خود استفاده کرده است. 

مهاجم بعد از دسترسی به حساب ایمیل قربانی به همه کسانی که در شبکه ارتباطی او بوده‌اند پیامی با محتوای مشابه می‌فرستد. پیامی در رابطه با زنی ۲۱ ساله که مورد ضرب و شتم فرار گرفته است و مهاجم ادعا می‌کند اسناد مربوط به بستری شدن او در بیمارستان را در اختیار دارد. 

همراه این پیام لینک فیشینگ نیز ارسال شده است. مهاجم این بار اما از هویت اولین قربانی خود استفاده می‌کند تا به دلیل شناخته شده بودن بین کسانی که به آن‌ها پیام می‌دهد، امکان موفقیت خود را افزایش دهد.