افزایش شدید تقاضا باعث طولانی شدنِ مدت زمان ترانزیت شده و در نتیجه مشتریان کم کم دارند به پیام های عذرخواهی پیک ها عادت می کنند. همین اواخر، شاهد تعدادی سایت و ایمیل جعلی بوده ایم که به ظاهر از سوی سرویس های تحویل بوده اند؛ اما در واقع داشتند از موضوع داغ ویروس کرونا سوءاستفاده می کردند. کلاهبرداران در این بحبوحه ی پاندمی ویروس کرونا دارند هم از نقشه های قدیمی –که امتحان خود را پس داده اند- و هم نقشه های جدید استفاده می کنند. در ادامه با ما همراه شوید تا شما را با عملکرد سرویس های تحویل جعلی آشنا کنیم.
اسپم با پیوست های مخرب
اسپمرها ممکن است خود را کارمندان سرویس های تحویل جا بزنند تا قربانیان را به باز کردن پیوست های آلوده ایمیل ترغیب کنند. ترفند کلاسیک این است که بگویند برای دریافت بسته که در راه است، گیرنده باید ابتدا اطلاعات داخل فایل پیوست را مطالعه و تأیید کند. برای مثال، نوتیفیکیشنی از ایمیل جعلیِ تحویل با انگلیسیِ شکسته می گوید بسته نمی تواند پست شود زیرا گیرنده باید بیاید انبار و شخصاً بسته را دریافت کند. آدرس انبار و سایر جزئیات نیز البته در پیوست آورده شده است؛ پیوستی که اگر باز شود یک Backdoor به نام Remcos روی کامپیوتر قربانی باز خواهد کرد. مجرمان سایبری می توانند سپس پی سی را به یک بات نت وصل یا شروع کنند به سرقت اطلاعات یا نصب سایر بدافزارها.
یک ایمیل جعلی دلیوریِ دیگر نیز از همین ترفند استفاده کرده و می گوید این شرکت نتوانسته بسته را پست کند؛ زیرا خطایی در مرحله برچسب زدن رخ داده،از قربانی خواسته می شود ;i اطلاعات داخل پیوست را تأیید کند؛ پیوستی که در حقیقت حاوی عضو دیگری از خانواده Remcos است.
برخی اوقات اسپمرها تصاویری از اسناد را برای افزایش اعتبار در پیام درج می کنند. در یک نمونه، اسکمرها تصویر کوچکی را به متن ایمیل اضافه کردند که شبیه به رسید بود ولی در حقیقت آنقدر ریز بود که نمی شد آن را خواند و وقتی هم رویش کلیک می شد، سایز آن تغییری نمی کرد. به همین دلیل گیرنده مجبور می شد پیوست آلوده را که نامش حاوی .jpg بود، باز کند. اگر کلاینت ایمیل گیرنده افزونه واقعی فایل را نشان ندهد، ممکن است چنین پیوستی را با عکس اشتباه بگیرند. در واقع آرشیو قابل اجرای ACE حاوی برنامه جاسوس افزار تحت عنوان Noon است. برای هول کردن قربانی، مجرمان سایبری می گویند اطلاعات از قلم افتاده را فوری و فوتی لازم دارند تا بدین ترتیب بسته قبل از اجرا شدن پروتکل قرنطینه تحویل داده شود.
ایمیل آلوده دیگری که جدید هم نیست اما با شرایط این روزها جور درمی آید؛ تأخیر در تحویل پست هاست. این سناریو بسیار مجاب کننده است: اسکمرها قربانی را به سمت پیوستی حاوی تروجان Bsymemهدایت می کنند که اگر اجرا شود به مهاجمین اجازه خواهد داد تا کنترل دستگاه را در دست گرفته و داده ها را سرقت کنند. پایینِ پیام هم بیانیه ای وجود دارد که با راهکار امنیتی میل، اسکن شده است و ظاهراً حاوی هیچ لینک یا فایل مخربی هم نیست؛ این ادعا به گیرنده حس کاذب امنیت می دهد.
بسیاری از اسپمرها تنها در قالب معمولِ میلینگ خود کمی به کووید 19 اشاره می کنند اما برخی دیگر تمرکز خود را به طور خاص روی قرنطینه ها و شیوع سریع پاندمی می گذارند. برای مثال، در یکی از ماجراها، دولت ورود هر گونه کالا را به کشور ممنوع کرده بود و این گونه بسته به فرستنده برگشت داده شد.
این پیوست ظاهراً حاوی شماره ردیابی سفارش برای درخواست ارسال مجدد (بعد از اینکه محدودیت های بهداشتی مربوط به ویروس برداشته شد) بوده است. اما در واقع باز کردن فایل، نصب بک دور Androm را را در پی دارد که به مهاجمین اجازه دسترسی ریموت به کامپیوتر را می دهد.
فیشینگ
اسکمرهای متخصص در زمینه حملات فیشینگ نیز دارند از این هرج و مرج حاکم بر بازار تحویل کالا سوءاستفاده می کنند. نسخه های به شدت باورکردنی ای از وبسایت های قانونی و نیز صفحات ردیابی جعلی شناسایی شده که همه شان گریزی به ویروس کرونا زده بودند. برای مثال، فیشرهایی که طعمه شان، اکانت مشتریان یک سرویس تحویل بود با ریزه کاری فراوان هوم پیج رسمی یک شرکت را تقلید کرده بودند (هوم پیجی که در آن اخبار داغی از پاندمی ویروس کرونا منتشر شده بود).
این صفحه شبیه سازی شده در جزئیات و ریزه کاری ها دست کمی از هوم پیج اصلی نداشت و از این رو تشخیص آن برای قربانیان بسیار سخت بود.
نویسندگان این پورتال جعلی برای ردیابی بسته ها به خط کپی راست کووید 19 را هم اضافه کردند. روی این صفحه به غیر از ماجرای پاندمی ویروس، اطلاعات کمتری از مسائل دیگر آورده شده است: فرمی برای وارد کردن اطلاعات محرمانه و فهرستی از سرویس های ایمیلِ «شریک». لازم به گفتن نیست که وارد کردن اطلاعات محرمانه روی این منبع، یعنی دو دستی در اختیار گذاشتن این اطلاعات به اسکمرها؛ حال آنکه سرنوشت بسته هم نامعلوم باقی خواهد ماند.
راهکارهایی برای جلوگیری
سایت ها و ایمیل های جعلی در پس ماجرای داغ کرونا خوب دارند جولان می دهند؛ این پدیده خوب فرصتی را برای مجرمان سایبری ایجاد کرده است. خصوصاً اگر قربانی واقعاً منتظر بسته ای باشد و یا فرضاً جزئیات باربری به ایمیل کاری شما فرستاده شده باشد (اینطوری با خود می گویید شاید همکارتان این سفارش را گذاشته باشد). توصیه این است که:
یه دقت به آدرس فرستنده نگاه کنید. اگر پیام از سوی سرویس میل رایگان بود و یا مجموعه کاراکترهای بی معنی در نام میل باکس وجود داشت احتمال می رود تقلبی باشد. با این حال در نظر داشته باشید که شاید آدرس فرستنده هم جعلی باشد.
به متن توجه داشته باشید. یک شرکت بزرگ و معتبر هرگز با متنی که فرمتش کج و معوج باشد و ایراد گرامری هم داشته باشد ایمیل ارسال نمی کند.
پیوست های داخل ایمیل هایی را که از سوی سرویس های تحویل هستند –خصوصاً اگر فرستنده اصرار می ورزد- باز نکنید. در عوض، به اکانت شخصی خود روی وبسایت پیک لاگین کرده و یا برای برررسی شماره ردیابی به طور دستی آدرس سرویس را در مرورگر وارد کنید. اگر ایمیلی دریافت کردید که اصرار می کند روی لینکی کلیک کنید نیز توصیه می شود همین کار را انجام دهید.
اگر پیامی به مسئله کرونا اشاره کرده بود حواس خود را جمع کنید؛ مجرمان سایبری برای جلب توجه از مسائل داغ سوءاستفاده می کنند؛ بنابراین هرگز نباید در مواجهه با چنین پیام هایی زود مجاب شوید.
راهکار امنیتی مطمئنی را نصب کنید که پیوست های آلوده را شناسایی کرده و وبسایت های فیشینگ را بلاک می کند.
منبع: کسپرسکی آنلاین