طی چند ماه گذشته، یک کمپین پیچیده فیشینگ تلگرام را زیر نظر داشتم که توسط سپاه پاسداران طراحی و اجرا شده است. این حملات به طور خاص فعالان حقوق بشر و روزنامه‌نگاران را هدف قرار می‌دهد و تلاش می‌کند تا به حساب‌های تلگرام آنها نفوذ کند.

آنچه این کمپین را به شدت نگران‌کننده می‌کند، پیچیدگی فنی آن است. برخلاف حملات فیشینگ معمولی، این عملیات به طور کامل فرآیند احراز هویت تلگرام را شبیه‌سازی می‌کند، به طوری که حتی کاربران آگاه به مسائل امنیتی هم به سختی می‌توانند آن را تشخیص دهند.

حمله زمانی شروع می‌شود که قربانیان پیامی دریافت می‌کنند که به نظر می‌رسد یک هشدار امنیتی واقعی از تلگرام است. سپس کیت فیشینگ یک مجموعه دقیق از مراحل را اجرا می‌کند:

ابتدا، کاربران با صفحه ورودی مواجه می‌شوند که بر اساس آی‌پی آنها، کد کشور را به طور خودکار تشخیص داده و پر می‌کند - ترفندی هوشمندانه که به صفحه جعلی مشروعیت می‌بخشد. پس از وارد کردن شماره تلفن، بخش اصلی حمله شروع می‌شود:

مهاجمان از سیستم احراز هویت واقعی تلگرام استفاده می‌کنند و باعث می‌شوند قربانیان کدهای واقعی تلگرام را روی دستگاه‌های دیگر خود دریافت کنند.

اینجاست که خطر جدی می‌شود. از آنجایی که کد تأیید از خود تلگرام ارسال می‌شود، حتی کاربران محتاط هم ممکن است در این تله بیافتن. برای حساب‌هایی که تأیید دو مرحله‌ای دارند، مهاجمان ترفند زیرکانه دیگری را پیاده‌سازی کرده‌اند: آنها راهنمای واقعی رمز عبور از حساب قربانی را نمایش می‌دهند که صفحه ورود رمز جعلی آنها را تقریباً غیرقابل تشخیص از صفحه واقعی تلگرام می‌کند.

در مرحله آخر، فیشرها از روش‌های پیشرفته مهندسی اجتماعی استفاده می‌کنند. آنها به کاربر نشان می‌دهند که یک نفر در حال دسترسی به حساب کاربری‌شان است و همزمان با نمایش یک تایمر ۳۰ ثانیه‌ای، کاربر را مجبور می‌کنند تا سریعاً تصمیم بگیرد. آنها دو گزینه به کاربر می‌دهند: «بله، این من هستم» یا «نه، من نیستم». این ترفند باعث می‌شود کاربر در شرایط استرس و اضطرار تصمیم بگیرد و احتمال اینکه روی گزینه «بله» کلیک کند را افزایش می‌دهد.

وبسایت https://telegramaware.com مستندسازی فنی و جامعی از این حملات فیشینگ ارائه می‌دهد که شامل شاخص‌های شناسایی حمله (IoCs) مانند دامنه‌ها و آدرس‌های مشکوک، نمونه کدهای مورد استفاده، و روش‌های شناسایی و جلوگیری از حمله است. این وبسایت همچنین اطلاعات لازم برای محققان امنیتی و کاربران عادی را فراهم می‌کند. هدف این وبسایت، آگاهی‌رسانی درباره پیچیدگی حملات فیشینگ دولتی و کمک به شناسایی و مقابله با آنهاست.

آنچه به طور خاص در مورد این کمپین نگران‌کننده است، نشان دهنده تکامل عملیات فیشینگ دولتی است. ما دیگر با فیشینگ های ساده سروکار نداریم، بلکه با حملاتی مواجه هستیم که جریان‌های احراز هویت مشروع را در استراتژی فریب خود ادغام می‌کنند.

برای ایرانیان خارج از کشور و فعالان داخل ایران، پیام روشن است: حتی زمانی که کدهای تأیید به ظاهر مشروع از تلگرام دریافت می‌کنید، باید بسیار مراقب باشید که آنها را کجا وارد می‌کنید. به ویژه، رمز ابری تلگرام خود را هرگز نباید در هیچ وب‌سایتی وارد کنید.

مراقب امنیت خود در فضای مجازی باشید.