安全公司 Check Point Research發(fā)現(xiàn)了一項黑客活動,該活動涉及網(wǎng)絡(luò)攻擊者冒充伊朗政府機構(gòu),通過短信感染伊朗公民的移動設(shè)備。
短信敦促受害者下載與伊朗官方服務(wù)(例如伊朗電子司法服務(wù))相關(guān)的 Android 應(yīng)用程序。第一條消息通常聲稱已針對受害者提出投訴,并且需要下載應(yīng)用程序才能做出回應(yīng)。
下載后,這些應(yīng)用程序允許黑客訪問受害者的個人消息。受害者被要求輸入信用卡信息以支付服務(wù)費,從而使攻擊者可以訪問現(xiàn)在可以使用的信用卡信息。通過訪問受害者的個人消息,攻擊者還可以通過兩因素身份驗證。
Check Point Research 表示,該活動正在進行中,并被用于感染數(shù)萬臺設(shè)備。除了 Check Point 的報告外,伊朗公民還在 社交媒體上抱怨這些騙局。一些伊朗新聞媒體也在報道這個問題。
該網(wǎng)絡(luò)安全公司解釋說:“威脅行為者然后繼續(xù)進行未經(jīng)授權(quán)的取款,并將每個受感染的設(shè)備變成機器人,將惡意軟件傳播給其他人。CPR 將攻擊歸因于威脅行為者,可能在伊朗,他們有經(jīng)濟動機。”
“CPR 估計數(shù)以萬計的 Android 設(shè)備成為受害者,導(dǎo)致數(shù)十億伊朗里亞爾被盜。威脅行為者正在使用 Telegram 渠道以低至 50 美元的價格交易涉及的惡意工具。CPR 的調(diào)查顯示,從受害者設(shè)備竊取的數(shù)據(jù)已經(jīng)沒有受到保護,使得第三方可以在線自由訪問。”
Check Point 的 Shmuel Cohen 在一次活動中表示,在不到 10 天的時間里,就有超過 1,000 人下載了該惡意應(yīng)用程序。即使他們沒有輸入信用卡信息,他們的設(shè)備也會成為僵尸網(wǎng)絡(luò)的一部分。
檢查點研究
Check Point 威脅情報團隊負(fù)責(zé)人 Alexandra Gofman 告訴 ZDNet,這些攻擊似乎是一種網(wǎng)絡(luò)犯罪,并不歸因于任何國家支持的行為者。
戈夫曼說,這些網(wǎng)絡(luò)攻擊的速度和傳播范圍是空前的,并補充說這是針對普通大眾的一場在金錢上取得成功的活動的一個例子。
“盡管其工具質(zhì)量低下且技術(shù)簡單,但該活動利用社會工程并對其受害者造成重大經(jīng)濟損失。其成功有幾個原因。首先,當(dāng)涉及官方的政府信息時,普通公民傾向于進一步調(diào)查,點擊提供的鏈接,”戈夫曼說。
“其次,由于這些攻擊的僵尸網(wǎng)絡(luò)性質(zhì),每個受感染的設(shè)備都獲得分發(fā)額外網(wǎng)絡(luò)釣魚 SMS 消息的命令,這些活動迅速傳播到大量潛在受害者。盡管這些特定活動在伊朗很普遍,但它們可以采取放在世界任何其他地方。我認(rèn)為提高對惡意行為者采用的社會工程計劃的認(rèn)識很重要。”Check Point 解釋說,攻擊背后的網(wǎng)絡(luò)犯罪分子正在使用一種稱為“smishing botnets”的技術(shù)。已被入侵的設(shè)備用于向其他設(shè)備發(fā)送 SMS 消息。該技術(shù)背后的人現(xiàn)在以高達(dá) 150 美元的價格在 Telegram 上向其他人提供它,為任何人提供輕松發(fā)起類似攻擊的基礎(chǔ)設(shè)施。盡管伊朗警方能夠逮捕其中一名罪犯,但現(xiàn)在伊朗仍有數(shù)十名不同的網(wǎng)絡(luò)犯罪分子在使用該工具。
該公司估計,大多數(shù)受害者大約被盜了 1,000 至 2,000 美元。攻擊者還在網(wǎng)上向其他人提供竊取的個人信息。
戈夫曼補充說,伊朗普通民眾現(xiàn)在處于網(wǎng)絡(luò)攻擊嚴(yán)重影響日常生活的境地。
戈夫曼說,這些攻擊始于鐵路,并指出該公司將這次攻擊追溯到一個名為 Indra 的組織。
“攻擊繼續(xù)發(fā)生在加油站,然后是國家航空公司?,F(xiàn)在,我們看到了另一起網(wǎng)絡(luò)攻擊,表明即使是純粹的網(wǎng)絡(luò)犯罪也能成為頭條新聞和混亂,傷害伊朗的許多人,”戈夫曼說。
“雖然我們沒有看到這些最新的網(wǎng)絡(luò)攻擊與上述主要攻擊之間存在直接聯(lián)系,但我們的最新見解表明,即使是簡單的網(wǎng)絡(luò)攻擊也會對伊朗普通民眾造成重大損害。”
文章轉(zhuǎn)載自安全圈