ایتنا- هدف حمله بسیاری از کاهبرداریهای فیشینگ شهروندان ایرانی بودند.
نفوذگر ایمیلی کاملاً مشابه ایمیلهای Gmail که حاوی لینکی برای تغییر گذرواژه است، به قربانی ارسال می کند.
پایگاه اطلاع رسانی پلیس فتا: محققان اجرای چندین حمله فیشینگ"کلاهبرداری اینترنتی"پیشرفته را گزارش کردهاند که هدف بسیاری از آنها شهروندان ایرانی بوده است.
در گزارشی که توسط آزمایشگاه تحقیقاتی Citizen Lab منتشر شده نحوه اجرای این حملات و عبور از سد گذرواژههای دو مرحلهای در حسابهای کاربری Gmail تشریح شده است.
بر طبق این گزارش، برخی از این حملات با ارسال یک پیامک به قربانی آغاز میشود.
در پیامک، که در ظاهر از سمت Gmail فرستاده شده به کاربر هشدار داده میشود که تلاشی برای ورود غیرمجاز به حساب کاربری او مشاهده و ثبت شده است.
لینک درون ایمیل، کاربر را به صفحه جعلی Gmail هدایت میکند که در آن از کاربر خواسته میشود تا گذرواژه خود را وارد کرده و برای ادامه کار بر روی دکمهای که او را به صفحه دوم هدایت میکند، کلیک کند.
با این کار، گذرواژه ایمیل به دست نفوذگر میرسد،نفوذگر نیز اقدام به ورود به ایمیل قربانی با گذرواژه سرقت شده میکند.
در صورت فعال بودن اصالت سنجی دو مرحله ای mail، یک کد امنیتی به کاربر واقعی "در اینجا قربانی "پیامک میشود.
در این مرحله در صفحه دوم سایت جعلی از قربانی خواسته میشود تا کد امنیتی را نیز وارد کند در این صورت نفوذگر که اکنون کد را نیز در اختیار دارد، به حساب کاربری ایمیل قربانی دسترسی کامل خواهد داشت.
در نمونه دیگری که در این گزارش به آن اشاره شده، با قربانی تماس تلفنی برقرار میشود و فردی در پشت تلفن ابراز تمایل میکند تا در خصوص کسب و کار قربانی، که ظاهرا به خوبی به آن آگاه است، یک طرح تجاری چند هزار دلاری ارسال کند.
در ادامه، ایمیلی از سمت نفوذگر به Gmail قربانی ارسال میشود. در ایمیل، لینکی جعلی به سرویس Google Drive قرار دارد،زمانی که کاربر بر روی لینک کلیک میکند به صفحه طراحی شده توسط نفوذگر هدایت میشود و در آن از کاربر خواسته میشود تا به حساب کاربری Google خود وارد شود.
ادامه کار همانند حمله با استفاده از پیامک است.سالهاست که بسیاری از کارشناسان امنیتی استفاده از اصالت سنجی دو مرحلهای را به عنوان روشی امن به سرویسدهندگان اینترنتی پیشنهاد میکنند؛ اما اجرای این گونه حملات نشان میدهد که این روش نیز میتواند آسیبپذیری باشد. منبع : پایگاه اطلاعرسانی پلیس فتا