بهره‌برداری مجرمان سایبری از هدرهای HTTP برای سرقت اعتبار از طریق حملات فیشینگ در مقیاس بزرگ

محققان امنیت سایبری نسبت به کمپین‌های فیشینگ در حال انجام هشدار داده‌اند که از ورودی‌های تازه‌ در سرفصل‌های HTTP برای ارائه صفحات ورود به ایمیل جعلی که برای جمع‌آوری اعتبار کاربران طراحی شده‌اند، سوءاستفاده می‌کنند.

Yu Zhang، Zeyu You و Wei Wang، محققین Palo Alto Networks Unit 42، می‌گویند[۱]: «برخلاف سایر رفتارهای توزیع صفحه وب فیشینگ از طریق محتوای HTML، این حملات از هدر پاسخ ارسال شده توسط سرور استفاده می‌کنند که قبل از پردازش محتوای HTML رخ می‌دهد.»

“پیوندهای مخرب را به مرورگر هدایت می‌کنند تا به‌طور خودکار یک صفحه وب را بلافاصله بازخوانی یا بارگیری مجدد کند، بدون اینکه نیازی به تعامل کاربر باشد.”

اهداف فعالیت در مقیاس بزرگ که بین ماه مه و ژوئیه ۲۰۲۴ مشاهده شد، شامل شرکت‌های بزرگ در کره جنوبی و همچنین سازمان‌های دولتی و مدارس در ایالات‌متحده است که بیش از ۲۰۰۰ آدرس اینترنتی مخرب با این کمپین‌ها مرتبط شده‌اند.

بیش از ۳۶ درصد از حملات، بخش تجارت و اقتصاد و پس‌ازآن خدمات مالی (۱۲٫۹ درصد)، دولت (۶٫۹ درصد)، بهداشت و پزشکی (۵٫۷ درصد) و کامپیوتر و اینترنت (۵٫۴ درصد) بوده‌اند.

این حملات جدیدترین در فهرست طولانی[۲] تاکتیک‌هایی[۳] هستند که بازیگران تهدید برای مخفی کردن قصد خود و فریب گیرندگان ایمیل برای جدا کردن اطلاعات حساس ازجمله استفاده از دامنه‌های سطح بالا[۴] (TLD) و نام‌های دامنه برای انتشار فیشینگ و حملات تغییر مسیر استفاده کرده‌اند.

زنجیره‌های آلوده با تحویل لینک‌های مخرب از طریق URLهای به‌روزرسانی هدر[۵] حاوی آدرس‌های ایمیل گیرندگان هدف مشخص می‌شوند. پیوندی که باید به آن هدایت شود در سربرگ پاسخ تازه[۶] تعبیه شده است.

نقطه شروع زنجیره آلودگی یک پیام ایمیل حاوی پیوندی است که یک دامنه قانونی یا در معرض خطر را تقلید می‌کند که با کلیک کردن، هدایت مجدد به صفحه جمع‌آوری اعتبار کنترل‌شده توسط بازیگر را آغاز می‌کند.

برای مشروعیت بخشیدن به تلاش فیشینگ، صفحات ورود ایمیل مخرب دارای آدرس ایمیل گیرندگان از قبل پرشده‌اند. همچنین مشاهده شده است که مهاجمان از دامنه‌های قانونی استفاده می‌کنند که خدمات کوتاه کردن URL، ردیابی و بازاریابی کمپین را ارائه می‌دهند[۷].

محققان می‌گویند: «با تقلید دقیق دامنه‌های قانونی و هدایت مجدد قربانیان به سایت‌های رسمی، مهاجمان می‌توانند به‌طور مؤثر اهداف واقعی خود را پنهان کنند و احتمال سرقت اعتبار موفقیت‌آمیز را افزایش دهند.»

این تاکتیک‌ها استراتژی‌های پیچیده‌ای را که مهاجمان برای اجتناب از شناسایی و بهره‌برداری از اهداف نامطمئن استفاده می‌کنند، برجسته می‌کند.

فیشینگ و مصالحه ایمیل تجاری (BEC) همچنان یک مسیر برجسته برای دشمنانی است که به دنبال حذف اطلاعات و انجام حملات با انگیزه مالی هستند.

بر اساس گزارش اداره تحقیقات فدرال ایالات‌متحده (FBI)، حملات BEC بین اکتبر ۲۰۱۳ تا دسامبر ۲۰۲۳، با بیش از ۳۰۵۰۰۰ مورد کلاه‌برداری گزارش شده است که در بازه زمانی اکتبر ۲۰۱۳ تا دسامبر ۲۰۲۳ حدود ۵۵٫۴۹ میلیارد دلار[۸] هزینه برای ایالات‌متحده و سازمان‌های بین‌المللی داشته است.

این توسعه در بحبوحه «ده‌ها کمپین کلاه‌برداری» صورت می‌گیرد که حداقل از ژوئیه ۲۰۲۳ از ویدیوهای دیپ‌فیک با حضور چهره‌های عمومی، مدیران عامل، مجریان اخبار و مقامات ارشد دولتی برای ترویج طرح‌های سرمایه‌گذاری جعلی مانند هوش مصنوعی کوانتومی استفاده کرده‌اند.

این کمپین‌ها از طریق پست‌ها و تبلیغات در پلتفرم‌های مختلف رسانه‌های اجتماعی منتشر می‌شوند و کاربران را به صفحات وب جعلی هدایت می‌کنند که از آن‌ها می‌خواهد فرمی را برای ثبت‌نام پر کنند، پس‌ازآن یک کلاه‌بردار از طریق تماس تلفنی با آن‌ها تماس گرفته و از آن‌ها می‌خواهد که مبلغی را پرداخت کنند. هزینه اولیه ۲۵۰ دلار برای دسترسی به خدمات است.

محققان Unit 42 گفتند[۹]: “کلاه‌بردار به قربانی دستور می‌دهد تا یک برنامه ویژه را دانلود کند تا بتواند بیشتر از سرمایه خود “سرمایه‌گذاری” کند. “در برنامه، به نظر می‌رسد یک داشبورد سود کمی را نشان می‌دهد.”

درنهایت، زمانی که قربانی سعی می‌کند وجوه خود را برداشت کند، کلاه‌برداران یا درخواست هزینه‌های برداشت می‌کنند یا دلایل دیگری (مثلاً مسائل مالیاتی) را برای بازگرداندن وجوه خود ذکر می‌کنند.

سپس کلاه‌برداران ممکن است قربانی را از حساب خود قفل کنند و وجوه باقیمانده را به جیب بزنند و باعث شوند قربانی بیشتر پولی را که در “پلتفرم” گذاشته‌اند از دست بدهد.

این شرکت همچنین به دنبال کشف یک عامل تهدید مخفی است که خود را به‌عنوان یک شرکت قانونی معرفی می‌کند و خدمات حل خودکار CAPTCHA را در مقیاس وسیع برای سایر مجرمان سایبری تبلیغ و به آن‌ها کمک می‌کند تا به شبکه‌های فناوری اطلاعات نفوذ کنند.

اعتقاد بر این است که “کسب‌وکار فعال‌سازی حملات سایبری” مستقر در جمهوری چک که توسط Arkose Labs لقب Greasy Opal نام دارد، از سال ۲۰۰۹ عملیاتی شده است و به مشتریان مجموعه ابزاری برای پر کردن اعتبار، ایجاد حساب جعلی انبوه، اتوماسیون مرورگر و هرزنامه رسانه‌های اجتماعی با قیمت ۱۹۰ دلار و ۱۰ دلار اضافی برای اشتراک ماهانه ارائه می‌دهد.

این مجموعه محصولات طیف جرائم سایبری را اجرا می‌کند و به آن‌ها اجازه می‌دهد تا با بسته‌بندی چندین سرویس با هم یک مدل کسب‌وکار پیچیده ایجاد کنند. گفته می‌شود که درآمد این نهاد تنها برای سال ۲۰۲۳ کمتر از ۱٫۷ میلیون دلار نیست.

این شرکت پیشگیری از کلاه‌برداری در تحلیل اخیر خاطرنشان کرد[۱۰]: Greasy Opal از فناوری پیشرفته OCR برای تجزیه‌وتحلیل و تفسیر مؤثر CAPTCHA های مبتنی بر متن استفاده می‌کند، حتی آن‌هایی که توسط نویز، چرخش یا مسدود شدن مخدوش شده یا مبهم شده‌اند. این سرویس الگوریتم‌های یادگیری ماشینی را توسعه می‌دهد که روی مجموعه داده‌های گسترده‌ای از تصاویر آموزش داده‌شده‌اند.

یکی از کاربران آن Storm-1152 است[۱۱]، یک گروه جنایت سایبری ویتنامی که قبلاً توسط مایکروسافت شناسایی شده بود که ۷۵۰ میلیون حساب و ابزار کلاه‌برداری از مایکروسافت[۱۲] را از طریق شبکه‌ای از وب‌سایت‌های جعلی و صفحات رسانه‌های اجتماعی به سایر بازیگران جنایتکار فروخته است.

این آزمایشگاه‌ها گفتند: “Greasy Opal یک مجموعه پررونق از مشاغل چندوجهی ایجاد کرده است که نه‌تنها خدمات حل CAPTCHA بلکه نرم‌افزارهای تقویت‌کننده سئو و خدمات اتوماسیون رسانه‌های اجتماعی را نیز ارائه می‌دهد که اغلب برای هرزنامه استفاده می‌شود، که می‌تواند پیش درآمدی برای ارسال بدافزار باشد.”

این گروه عامل تهدید روند رو به رشد مشاغلی را که در منطقه خاکستری فعالیت می‌کنند منعکس می‌کند، درحالی‌که محصولات و خدمات آن برای فعالیت‌های غیرقانونی در پایین‌دست استفاده شده است.

  منابع

[۱] https://unit42.paloaltonetworks.com/rare-phishing-page-delivery-header-refresh

[۲] https://thehackernews.com/2024/05/new-tricks-in-phishing-playbook.html

[۳] https://thehackernews.com/2024/08/new-qr-code-phishing-campaign-exploits.html

[۴] https://unit42.paloaltonetworks.com/tracking-newly-released-top-level-domains

[۵] https://blog.quttera.com/post/finding-stopping-malicious-http-redirection/#rec697454762

[۶] https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Refresh

[۷] https://cloud.google.com/blog/topics/threat-intelligence/how-attackers-weaponize-digital-analytics-tools

[۸] https://www.ic3.gov/Media/Y2024/PSA240911

[۹] https://unit42.paloaltonetworks.com/dynamics-of-deepfake-scams

[۱۰] https://www.arkoselabs.com/resource/dossier-greasy-opal-greasing-skids-cybercrime/

[۱۱] https://thehackernews.com/2023/12/microsoft-takes-legal-action-to-crack.html

[۱۲] https://www.arkoselabs.com/blog/storm-1152-continuing-battle-against-cybercrime

[۱۳] https://thehackernews.com/2024/09/cybercriminals-exploit-http-headers-for.html