حملات فیشینگِ نفوذگران روسی با سوء‌استفاده از زیرساخت گوگل علیه جیمیل

نفوذگران روسیِ مورد حمایت دولت به نظر می‌رسد موفق شده‌اند بهترین راه نفوذ به حساب‌های جیمیل که سوء‌استفاده از زیرساخت گوگل می‌باشد را کشف و مورد بهره‌برداری قرار دهند.
به‌تازگی یک پویش فیشینگ جدید شناسایی شده است که دست‌کم ۲۰۰ قربانی از جمله برخی روزنامه‌نگاران و فعلان حقوق بشر که علیه دولت روسیه فعالیت داشته‌اند و قربانیان دیگر از جمله مقامات ارتش اوکراین و برخی از مقامات شرکت‌های انرژی در سراسر دنیا را گرفتار کرده است.
آزمایشگاه امنیتی Citizen Lab واقع در کشور کانادا با بررسی ردپای موجود در یک رایانامه‌ی فیشینگ که به یک روزنامه‌نگار آمریکایی به نام دیوید سَتِر1 ارسال شده بود این کمپین را شناسایی کرده‌اند.
این روزنامه‌نگار چند ماه پیش یک رایانامه دریافت کرده بود که ظاهراً از طرف گوگل ارسال شده و از وی خواسته شده بود گذرواژه‌ی خود را تغییر دهد، چون گوگل شواهدی دارد که نشان می‌دهد این گذرواژه به سرفت رفته است.

   

 

این کمپین دقیقاً مشابه کمپین فیشینگ است که افراد درگیر در ستادِ‌ هیلاری کلینتون را قربانی کرده بود. در‌واقع هیچ یک از این رایانه‌ها از طرف گوگل ارسال نمی‌شود.
در این رایانامه‌های یک دکمه‌ی «بازنشانی گذرواژه» وجود دارد که پیوند کوتاه شده از وب‌گاه Tiny.cc (یک وب‌گاه کوتاه کردن پیوند‌های اینترنی و از رقبای Bitly)می‌باشد.
 نفوذگران با سوء‌استفاده‌ی هوشمندانه از سرویس گوگل با نام «تسریع صفحات وب برای تلفن همراه2» موفق به‌ راه‌اندازی این پویش فیشینگ شده‌اند.
در‌واقع سرویس تسریع صفحات وب برای تلفن همراه یا AMP با این هدف ایجاد شده است که یک نسخه‌ی سبک‌تر از صفحات وب ویژه‌ی تلفن همراه ایجاد نماید و سپس با هدایت کاربر به سمت این صفحات که در کارگزارهای گوگل میزبانی می‌شود، باعث شود سرعت بارگذاری صفحات وب بیش‌تر شود. به همین دلیل اگر یک صفحه‌ی فیشینگ ایجاد شده باشد چون در کارگزارهای گوگل میزبانی می‌شود ممکن است کاربر تصور کند این صفحه واقعاً متعلق به گوگل است.
اگر قربانی با دیدن رایانامه به سرعت بر روی دکمه‌ی بازنشانی گذرواژه کلیک نماید، آن‌ها یک آدرس را مشاهده می‌کنند که با عبارت google.com/amp شروع می‌شود که ظاهراً امن به نظر می‌رسد،‌ اما در انتهای این پیوند یک آدرس کوتاه‌شده قرار دارد که ممکن است کاربر به آن توجهی نکند.

https://www.google[.]com/amp/tiny.cc/63q6iy

استفاده از چنین آدرس‌هایی که متعلق به کارگزار خود گوگل است علاوه بر این که به هدف فیشینگ کمک می‌کند باعث می‌شود سرویس‌های ضدهرزنامه‌ی گوگل رایانامه‌های ارسالی را با عنوان هرزنامه شناسایی نکنند.
ارسال‌کننده‌ی اصلی رایانامه‌ی فیشینگ از آدرس annaablony[@]mail.com استفاده می‌کند که ارتباطاتی با گروه APT28 یا Fancy Bear که با دولت روسیه همکاری می‌کند،‌ دارد.

  • 1. David Satter
  • 2. Google's Accelerated Mobile Pages
0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید