مهاجمان به تازگی با ارسال اطلاعرسانیهای جعلی در خصوص نشت اطلاعات (Data Breach) شرکتهای بزرگ در حال توزیع بدافزار و افزونه مخرب بر روی دستگاه قربانیان خود هستند. آنها با استفاده از تکنیکهای سئو، ابزار Google Sites و صفحات هرزنامهای کاربران را به موقعیتهای خطرناک هدایت میکنند.
این کلاهبرداران با ایجاد صفحات اینترنتی و بهرهگیری از سایتهای تسخیر شده و درج محتوایی در آنها که از ترکیب کلیدواژههای مرتبط با نشت دادهها و نام برخی شرکتهای سرشناس تشکیل شده کاربران را به این صفحات مخرب هدایت میکنند.
در جریان این کارزارهای مخرب، Google Alerts نیز ناخواسته موجب اطلاعرسانیهای دروغین به کاربران میشود. Google Alerts سامانهای است که وظیفه آن خبر دادن به کاربر در خصوص پیدا شدن نتایج جدید بر اساس کلیدواژههایی است که پیشتر توسط او در این سامانه تعریف شده است.
تصویر زیر نمونهای از اطلاعرسانیهای ارسالی توسط Google Alerts را که بسیاری از آنها به صفحاتی با محتوای جعلی این مهاجمان اشاره دارند نمایش میدهد.
به گزارش شرکت مهندسی شبکه گستر، از طریق اطلاعرسانیهای مذکور کاربر به صفحات مورد نظر کلاهبرداران هدایت شده و در آنجا با وعدهها و پیشنهادهای فریبنده، قربانی، ناآگاهانه اقدام به نصب افزونههای مخرب یا بدفزار بر روی دستگاه خود میکند.
تنها در یکی از سایتهای هک شده پوشهای حاوی حدود دو هزار فایل متنی (Text File) که نمونهای از آن در تصویر قابل مشاهده است تزریق شده تا کلیدواژههای درج شده در فایلها، کاربران را در جریان جستجوها به سمت آنها هدایت کنند.
بغیر از یک فایل که تاریخ آخرین ویرایش آن به 9 مرداد 1397 باز میگردد سایر فایل ها در 22 خرداد سال جاری یا تاریخهایی پس از آن ویرایش شدهاند.
اطلاعات مندرج در این متون از منابع عمومی کپی شده و دامنهای گسترده از موضوعات امنیتی و رخدادهای نشت اطلاعات را پوشش میدهند.
در نتیجه این اقدامات زمانی که کاربر موضوعی خاص را جتسجو میکند نشانی سایتهای در کنترل مهاجمان در صدر سایر نتایج ظاهر شده و بنابراین احتمال آنکه کاربر بر روی لینک آن کلیک کند بیشتر میشود.
همانطور که اشاره شد علاوه بر از استفاده از سایتهای هک شده، کلاهبرداران، خود نیز صفحاتی را ساخته و در دسترس قرار دادهاند. در ساخت و طراحی بسیاری از آنها از ابزار Google Sites استفاده شده است.
آن چه که کاربر در زمان مراجعه مستقیم به این صفحات با آن مواجه میشود با آن چیزی که در زمان ورود از طریق Google Alerts یا موتورهای جستجوگر ظاهر می گردد متفاوت است.
فراخوانی مستقیم صفحات مذکور ماهیت مخرب آنها را حداقل برای کاربران غیرحرفهای برملا نمیکند. در عوض آن چه کاربر با آن روبرو میشود خطای page not found یا متنی در خصوص نشت دادههاست که بهطور خاص برای ترفیع موقعیت صفحه در نتایج جستجو طراحی شده است.
حال آن که در صورت کلیک بر روی یک لینک Google با تغییر مسیرهای پیدرپی قربانی به مقصد نهایی مهاجمان هدایت میشود. چیزی که در نهایت نمایش مییابد بسته به موقعیت جغرافیایی کاربر متفاوت است.
در بسیاری از آنها بهروزرسانیهای جعلی Adobe Flash به چشم میخورد. در این تکنیک مهندسی اجتماعی از کاربر خواسته میشود تا برای مشاهده کلیپ یا مطلبی جذاب آخرین نسخه از Flash Player را با کلیک بر روی دگمه یا لینک نمایش داده شده دریافت کند؛ اما در عمل با این اقدام کاربر افزونهای مخرب یا بدافزار بر روی دستگاه نصب میشود.
در مواردی نیز با پیشنهاد وسوسهانگیز، کاربر تشویق به وارد کردن اطلاعات شخصی خود در پنجرههایی دروغین میشود.
بهطور معمول، افزونهها میتوانند صفحات فراخوانی شده در مرورگر کاربر را خوانده و حتی به محتوای آن دستدرازی کنند. در انبارههای رسمی تایید شده توسط سازندگان مرورگر با اعمال کنترلها و نظارتهای امنیتی از مخرب نبودن افزونه های به اشتراک گذاشته شده تا حدودی اطمینان حاصل میشود؛ اما در این حملات کاربر ناآگاه ناخواسته با دست خود افزونه مخرب را بدون هر گونه واسطه نصب میکند.
دادههای جمعآوری شده گنجینهای از اطلاعات با ارزش برای اجرای حملات هدفمند محسوب می شود.
علاوه بر استفاده از ضدویروس و ضدهرزنامه قدرتمند و بهروز، آموزش کاربران در پرهیز از اجرای فایلهای مشکوک و عدم کلیک بر روی لینکهای ناآشنا نقشی اساسی در ایمنسازی سازمان از گزند این نوع تهدیدات دارد.