ITanalyze

سخت بتوان جنبه‌ای از فعالیت انسانی را در نظر گرفت که تحت‌الشعاع پاندمی ویروس کرونا قرار نگرفته باشد و خوب سرویس‌های تحویل کالا هم از این قاعده مستثنی نیستند. جریانات حمل و نقل بین کشورها مختل شده و از آنجایی که مردم و شرکت‌ها همینطور دارند در سطح داخلی و خارجی کالا سفارش می‌دهند هواپیماهای باربری کم آمده است. تقاضا برای برخی اقلام حتی بسیار زیاد شده است. افزایش شدید تقاضا باعث طولانی شدنِ مدت‌زمان ترانزیت‌ها شده و در نتیجه مشتریان کم‌کم دارند به پیام‌های عذرخواهی از سوی پیک‌ها عادت می‌کنند. همین اواخر، شاهد تعدادی سایت و ایمیل جعلی بوده‌ایم که به ظاهر از سوی سرویس‌های تحویل بوده‌اند اما در واقع داشتند از موضوع داغ ویروس کرونا سوءاستفاده می‌کردند. کلاهبرداران در این بحبوحه‌ی پاندمی ویروس کرونا دارند هم از نقشه‌های قدیمی –که امتحان خود را پس داده‌اند- و هم نقشه‌های جدید استفاده می‌کنند. در ادامه با ما همراه شوید تا شما را با عملکرد چنین سرویس‌های تحویل جعلی‌ای آشنا کنیم.

اسپم با پیوست‌های مخرب
اسپمرها ممکن است خود را کارمندان سرویس‌های تحویل جا زده تا قربانیان را متقاعد کنند پیوست‌های آلوده‌ی ایمیل را باز کنند. ترفند کلاسیک این است که بگویند برای دریافت بسته که در راه است، گیرنده باید ابتدا اطلاعات داخل فایل پیوست را مطالعه و تأیید کند. برای مثال، نوتیفیکیشنی از ایمیل جعلیِ تحویل با انگلیسیِ شکسته می‌گوید بسته نمی‌تواند پست شود زیرا گیرنده باید بیاید انبار و شخصاً بسته را دریافت کند. آدرس انبار و سایر جزئیات نیز البته در پیوست آورده شده است- پیوستی که اگر باز شود بک‌دری به نام Remcos روی کامپیوتر قربانی باز خواهد کرد. مجرمان سایبری می‌توانند سپس پی‌سی را به یک بات‌نت وصل کرده یا شاید شروع کنند به سرقت اطلاعات یا نصب سایر بدافزارها.
نویسندگان یک ایمیل جعلی دلیوریِ دیگر نیز از همین ترفند استفاده کرده و می‌گوید این شرکت نتوانسته بسته را پست کند؛ زیرا خطایی در مرحله‌ی برچسب‌زدن رخ داده است. از قربانی خواسته می‌شود تا اطلاعات داخل پیوست را تأیید کند، پیوستی که در حقیقت حاوی عضو دیگری از خانواده Remcos است.
برخی‌اوقات اسپمرها تصاویری از داکیومنت‌ها را برای افزایش اعتبار در پیام درج می‌کنند. در مثال زیر، اسکمرها تصویر کوچکی را به متن ایمیل اضافه کردند. شبیه به رسید بود ولی در حقیقت آنقدر ریز بود که نمی‌شد آن را خواند و وقتی هم رویش کلیک می‌شد سایز آن تغییری نمی‌کرد. برای همین گیرنده مجبور می‌شد پیوست آلوده را که نامش حاوی .jpg. بود باز کند. اگر کلاینت ایمیل گیرنده افزونه‌ی واقعی فایل را نشان ندهد، ممکن است چنین پیوستی را با عکس اشتباه بگیرند. در واقع آرشیو قابل‌اجرای ACE حاوی برنامه جاسوس‌افزار تحت عنوان Noon است. برای هول کردن قربانی، مجرمان سایبری می‌گویند اطلاعات از قلم‌افتاده را فوری و فوتی لازم دارند تا بدین‌ترتیب بسته قبل از اجرا شدن پروتکل قرنطینه تحویل داده شود.
 ایمیل آلوده‌ی دیگر که جدید هم نیست اما با شرایط این روزها جور درمی‌آید تأخیر در تحویل‌ پست‌هاست. این سناریو بسیار مجاب‌کننده است: اسکمرها قربانی را به سمت پیوستی حاوی تروجان Bsymem–که اگر اجرا شود به مهاجمین اجازه خواهد داد تا کنترل دستگاه را در دست گرفته و داده‌ها را سرقت کنند- هدایت می‌کنند. پایینِ پیام هم بیانیه‌ای وجود دارد که با راهکار امنیتی میل، اسکن شده است و ظاهراً حاوی هیچ لینک یا فایل مخربی هم نیست؛ این ادعا به گیرنده حس کاذب امنیت می‌دهد.
بسیاری از اسپمرها تنها در قالب معمولِ میلینگ خود کمی به کووید 19 اشاره می‌کنند اما برخی دیگر تمرکز خود را به طور خاص روی قرنطینه‌ها و شیوع سریع پاندمی می‌گذارند. برای مثال، در یکی از ماجراها، دولت ورود هر گونه کالا را به کشور ممنوع کرده بود و اینگونه بسته به فرستنده برگشت داده شد.
 این پیوست ظاهراً حاوی شماره ردیابی سفارش برای درخواست ارسال مجدد –بعد از اینکه محدودیت‌های بهداشتی مربوط به ویروس برداشته شد- بوده است. اما در واقع باز کردن فایل، نصب بک‌در Androm را –که به مهاجمین اجازه‌ی دسترسی ریموت به کامپیوتر را می‌دهد- به خطر می‌اندازد.

فیشینگ
اسکمرهای متخصص در زمینه حملات فیشینگ نیز دارند از این هرج و مرج حاکم بر بازار تحویل کالا سوءاستفاده می‌کنند. ما نسخه‌های به شدت باورکردنی‌ای از وبسایت‌های قانونی و نیز صفحات ردیابی جعلی شناسایی کرده‌ایم که همه‌شان گریزی به ویروس کرونا زده بودند. برای مثال، فیشرهایی که طعمه‌شان، اکانت‌ مشتریان یک سرویس تحویل بود با ریزه‌کاری فراوان هوم‌پیج رسمی یک شرکت را تقلید کرده بودند (هوم‌پیجی که در آن اخبار داغی از پاندمی ویروس کرونا منتشر شده بود). 
این صفحه شبیه‌سازی شده در جزیئات و ریزه‌کاری‌ها هیچ کمی از هوم‌پیج اصلی نداشت و از این رو تشخیص آن برای قربانیان بسیار سخت بود.
 نویسندگان این پورتال جعلی برای ردیابی بسته‌ها به خط کپی‌راست کووید 19 را هم اضافه کردند. روی این صفحه به غیر از ماجرای پاندمی ویروس، اطلاعات کمتری از مسائل دیگر آورده شده است: فرمی برای وارد کردن اطلاعات محرمانه و فهرستی از سرویس‌های ایمیلِ «شریک». لازم به گفتن نیست که وارد کردن اطلاعات محرمانه روی این منبع، یعنی دو دستی در اختیار گذاشتن این اطلاعات به اسکمرها؛ حال آنکه سرنوشت بسته هم نامعلوم باقی خواهد ماند.
 
 
راهکارهایی برای جلوگیری‌
سایت‌ها و ایمیل‌های جعلی در پس ماجرای داغ کرونا خوب دارند جولان می‌دهند؛ این پدیده خوب فرصتی را برای مجرمان سایبری ایجاد کرده است. خصوصاً اگر قربانی واقعاً منتظر بسته‌ای باشد و یا فرضاً جزئیات باربری به ایمیل کاری شما فرستاده شده باشد (اینطوری با خود می‌گویید شاید همکارتان این سفارش را گذاشته باشد). توصیه‌ی ما به شما این است که:
•    یه دقت به آدرس فرستنده نگاه کنید. اگر پیام از سوی سرویس میل رایگان بود و یا مجموعه کاراکترهای بی‌معنی در نام میل‌باکس وجود داشت احتمال می‌رود تقلبی باشد. با این حال در نظر داشته باشید که شاید آدرس فرستنده هم جعلی باشد.
•    به متن توجه داشته باشید. یک شرکت بزرگ و معتبر هرگز با متنی که فرمتش کج و معوج باشد و ایراد گرامری هم داشته باشد ایمیل ارسال نمی‌کند.
•    پیوست‌های داخل ایمیل‌هایی را که از سوی سرویس‌های تحویل هستند –خصوصاً اگر فرستنده اصرار می‌ورزد- باز نکنید. در عوض، به اکانت شخصی خود روی وبسایت پیک لاگین کرده و یا برای برررسی شماره ردیابی به طور دستی آدرس سرویس را در مرورگر وارد کنید. اگر ایمیلی دریافت کردید که اصرار می‌کند روی لینکی کلیک کنید نیز توصیه می‌شود همین کار را انجام دهید.
•    اگر پیامی به مسئله کرونا اشاره کرده بود حواس خود را جمع کنید؛ مجرمان سایبری برای جلب توجه از مسائل داغ سوءاستفاده می‌کنند؛ بنابراین هرگز نباید در مواجهه با چنین پیام‌هایی زود مجاب شوید.
•    راهکار امنیتی مطمئنی را نصب کنید که پیوست‌های آلوده را شناسایی کرده و وبسایت‌های فیشینگ را بلاک می‌کند.
 
منبع: کسپرسکی آنلاین
تنظیم: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)