حملات فیشینگِ نفوذگران روسی با سوء‌استفاده از زیرساخت گوگل علیه جیمیل

نفوذگران روسیِ مورد حمایت دولت به نظر می‌رسد موفق شده‌اند بهترین راه نفوذ به حساب‌های جیمیل که سوء‌استفاده از زیرساخت گوگل می‌باشد را کشف و مورد بهره‌برداری قرار دهند.
به‌تازگی یک پویش فیشینگ جدید شناسایی شده است که دست‌کم ۲۰۰ قربانی از جمله برخی روزنامه‌نگاران و فعلان حقوق بشر که علیه دولت روسیه فعالیت داشته‌اند و قربانیان دیگر از جمله مقامات ارتش اوکراین و برخی از مقامات شرکت‌های انرژی در سراسر دنیا را گرفتار کرده است.
آزمایشگاه امنیتی Citizen Lab واقع در کشور کانادا با بررسی ردپای موجود در یک رایانامه‌ی فیشینگ که به یک روزنامه‌نگار آمریکایی به نام دیوید سَتِر۱ ارسال شده بود این کمپین را شناسایی کرده‌اند.
این روزنامه‌نگار چند ماه پیش یک رایانامه دریافت کرده بود که ظاهراً از طرف گوگل ارسال شده و از وی خواسته شده بود گذرواژه‌ی خود را تغییر دهد، چون گوگل شواهدی دارد که نشان می‌دهد این گذرواژه به سرفت رفته است.

این کمپین دقیقاً مشابه کمپین فیشینگ است که افراد درگیر در ستادِ‌ هیلاری کلینتون را قربانی کرده بود. در‌واقع هیچ یک از این رایانه‌ها از طرف گوگل ارسال نمی‌شود.
در این رایانامه‌های یک دکمه‌ی «بازنشانی گذرواژه» وجود دارد که پیوند کوتاه شده از وب‌گاه Tiny.cc (یک وب‌گاه کوتاه کردن پیوند‌های اینترنی و از رقبای Bitly)می‌باشد.
نفوذگران با سوء‌استفاده‌ی هوشمندانه از سرویس گوگل با نام «تسریع صفحات وب برای تلفن همراه۲» موفق به‌ راه‌اندازی این پویش فیشینگ شده‌اند.
در‌واقع سرویس تسریع صفحات وب برای تلفن همراه یا AMP با این هدف ایجاد شده است که یک نسخه‌ی سبک‌تر از صفحات وب ویژه‌ی تلفن همراه ایجاد نماید و سپس با هدایت کاربر به سمت این صفحات که در کارگزارهای گوگل میزبانی می‌شود، باعث شود سرعت بارگذاری صفحات وب بیش‌تر شود. به همین دلیل اگر یک صفحه‌ی فیشینگ ایجاد شده باشد چون در کارگزارهای گوگل میزبانی می‌شود ممکن است کاربر تصور کند این صفحه واقعاً متعلق به گوگل است.
اگر قربانی با دیدن رایانامه به سرعت بر روی دکمه‌ی بازنشانی گذرواژه کلیک نماید، آن‌ها یک آدرس را مشاهده می‌کنند که با عبارت google.com/amp شروع می‌شود که ظاهراً امن به نظر می‌رسد،‌ اما در انتهای این پیوند یک آدرس کوتاه‌شده قرار دارد که ممکن است کاربر به آن توجهی نکند.
https://www.google[.]com/amp/tiny.cc/۶۳q۶iy
استفاده از چنین آدرس‌هایی که متعلق به کارگزار خود گوگل است علاوه بر این که به هدف فیشینگ کمک می‌کند باعث می‌شود سرویس‌های ضدهرزنامه‌ی گوگل رایانامه‌های ارسالی را با عنوان هرزنامه شناسایی نکنند.
ارسال‌کننده‌ی اصلی رایانامه‌ی فیشینگ از آدرس annaablony[@]mail.com استفاده می‌کند که ارتباطاتی با گروه APT۲۸ یا Fancy Bear که با دولت روسیه همکاری می‌کند،‌ دارد.

۱. David Satter
۲. Google’s Accelerated Mobile Pages

منبع: asis

درباره نماد امنیت وب

کانال اخبار فناوری اطلاعات نماد امن

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.