【安全圈】黑客冒充伊朗政府！竊取信用卡信息，創(chuàng)建僵尸網(wǎng)絡(luò)

安全公司 Check Point Research發(fā)現(xiàn)了一項(xiàng)黑客活動(dòng)，該活動(dòng)涉及網(wǎng)絡(luò)攻擊者冒充伊朗政府機(jī)構(gòu)，通過(guò)短信感染伊朗公民的移動(dòng)設(shè)備。
短信敦促受害者下載與伊朗官方服務(wù)（例如伊朗電子司法服務(wù)）相關(guān)的 Android 應(yīng)用程序。第一條消息通常聲稱已針對(duì)受害者提出投訴，并且需要下載應(yīng)用程序才能做出回應(yīng)。
下載后，這些應(yīng)用程序允許黑客訪問(wèn)受害者的個(gè)人消息。受害者被要求輸入信用卡信息以支付服務(wù)費(fèi)，從而使攻擊者可以訪問(wèn)現(xiàn)在可以使用的信用卡信息。通過(guò)訪問(wèn)受害者的個(gè)人消息，攻擊者還可以通過(guò)兩因素身份驗(yàn)證。
Check Point Research 表示，該活動(dòng)正在進(jìn)行中，并被用于感染數(shù)萬(wàn)臺(tái)設(shè)備。除了 Check Point 的報(bào)告外，伊朗公民還在 社交媒體上抱怨這些騙局。一些伊朗新聞媒體也在報(bào)道這個(gè)問(wèn)題。
該網(wǎng)絡(luò)安全公司解釋說(shuō)：“威脅行為者然后繼續(xù)進(jìn)行未經(jīng)授權(quán)的取款，并將每個(gè)受感染的設(shè)備變成機(jī)器人，將惡意軟件傳播給其他人。CPR 將攻擊歸因于威脅行為者，可能在伊朗，他們有經(jīng)濟(jì)動(dòng)機(jī)。”
“CPR 估計(jì)數(shù)以萬(wàn)計(jì)的 Android 設(shè)備成為受害者，導(dǎo)致數(shù)十億伊朗里亞爾被盜。威脅行為者正在使用 Telegram 渠道以低至 50 美元的價(jià)格交易涉及的惡意工具。CPR 的調(diào)查顯示，從受害者設(shè)備竊取的數(shù)據(jù)已經(jīng)沒(méi)有受到保護(hù)，使得第三方可以在線自由訪問(wèn)。”
Check Point 的 Shmuel Cohen 在一次活動(dòng)中表示，在不到 10 天的時(shí)間里，就有超過(guò) 1,000 人下載了該惡意應(yīng)用程序。即使他們沒(méi)有輸入信用卡信息，他們的設(shè)備也會(huì)成為僵尸網(wǎng)絡(luò)的一部分。

檢查點(diǎn)研究
Check Point 威脅情報(bào)團(tuán)隊(duì)負(fù)責(zé)人 Alexandra Gofman 告訴 ZDNet，這些攻擊似乎是一種網(wǎng)絡(luò)犯罪，并不歸因于任何國(guó)家支持的行為者。
戈夫曼說(shuō)，這些網(wǎng)絡(luò)攻擊的速度和傳播范圍是空前的，并補(bǔ)充說(shuō)這是針對(duì)普通大眾的一場(chǎng)在金錢(qián)上取得成功的活動(dòng)的一個(gè)例子。
“盡管其工具質(zhì)量低下且技術(shù)簡(jiǎn)單，但該活動(dòng)利用社會(huì)工程并對(duì)其受害者造成重大經(jīng)濟(jì)損失。其成功有幾個(gè)原因。首先，當(dāng)涉及官方的政府信息時(shí)，普通公民傾向于進(jìn)一步調(diào)查，點(diǎn)擊提供的鏈接，”戈夫曼說(shuō)。
“其次，由于這些攻擊的僵尸網(wǎng)絡(luò)性質(zhì)，每個(gè)受感染的設(shè)備都獲得分發(fā)額外網(wǎng)絡(luò)釣魚(yú) SMS 消息的命令，這些活動(dòng)迅速傳播到大量潛在受害者。盡管這些特定活動(dòng)在伊朗很普遍，但它們可以采取放在世界任何其他地方。我認(rèn)為提高對(duì)惡意行為者采用的社會(huì)工程計(jì)劃的認(rèn)識(shí)很重要。”Check Point 解釋說(shuō)，攻擊背后的網(wǎng)絡(luò)犯罪分子正在使用一種稱為“smishing botnets”的技術(shù)。已被入侵的設(shè)備用于向其他設(shè)備發(fā)送 SMS 消息。該技術(shù)背后的人現(xiàn)在以高達(dá) 150 美元的價(jià)格在 Telegram 上向其他人提供它，為任何人提供輕松發(fā)起類(lèi)似攻擊的基礎(chǔ)設(shè)施。盡管伊朗警方能夠逮捕其中一名罪犯，但現(xiàn)在伊朗仍有數(shù)十名不同的網(wǎng)絡(luò)犯罪分子在使用該工具。
該公司估計(jì)，大多數(shù)受害者大約被盜了 1,000 至 2,000 美元。攻擊者還在網(wǎng)上向其他人提供竊取的個(gè)人信息。
戈夫曼補(bǔ)充說(shuō)，伊朗普通民眾現(xiàn)在處于網(wǎng)絡(luò)攻擊嚴(yán)重影響日常生活的境地。
戈夫曼說(shuō)，這些攻擊始于鐵路，并指出該公司將這次攻擊追溯到一個(gè)名為 Indra 的組織。
“攻擊繼續(xù)發(fā)生在加油站，然后是國(guó)家航空公司?，F(xiàn)在，我們看到了另一起網(wǎng)絡(luò)攻擊，表明即使是純粹的網(wǎng)絡(luò)犯罪也能成為頭條新聞和混亂，傷害伊朗的許多人，”戈夫曼說(shuō)。
“雖然我們沒(méi)有看到這些最新的網(wǎng)絡(luò)攻擊與上述主要攻擊之間存在直接聯(lián)系，但我們的最新見(jiàn)解表明，即使是簡(jiǎn)單的網(wǎng)絡(luò)攻擊也會(huì)對(duì)伊朗普通民眾造成重大損害。”
文章轉(zhuǎn)載自安全圈