استخدمت حملة خداع إيرانية حديثة لاستهداف الناشطين والصحفيين والمسؤولين الحكوميين الأمريكيين، تقنية جديدة للمتسللين الإيرانيين تجاوزت إجراءات حماية المصادقة الثنائية التي تعتمد على كلمات المرور التي ترسل مرة واحدة عبر الرسائل النصية إلى الهواتف، كالتي توفرها خدمات مثل جوجل وياهو.
وقالت مصادر أمنية «إن مخترقي النظام الإيراني جمعوا معلومات تفصيلية عن الأهداف التي استخدموها في كتابة رسائل البريد الالكتروني المخترقة التي تتناسب مع مستوى الأهداف للأمن التشغيلي، وتحتوي هذه الرسائل على صورة مخفية تنبه المتسللين في الوقت الفعلي عند قراءة الرسائل، وبمجرد أن يدخل الهدف كلمات المرور الخاصة بهم في صفحة الأمان المزورة، يمكن للمهاجمين إدخال المعلومات في صفحة تسجيل الدخول الحقيقية.
وحتى إذا كانت الأهداف تستخدم مصادقة ثنائية، فسيعاد توجيهها إلى صفحة جديدة تطلب كلمة المرور لمرة واحدة بحسب موقع المجلس الوطني للمقاومة الإيرانية».
وكتب باحثون أخيرا، «بعبارة أخرى، فإن المخترقين يتحققون من أسماء المستخدمين وكلمات المرور للضحايا في الوقت الفعلي على خوادمهم الخاصة، وحتى إذا تم تمكين المصادقة الثنائية، مثل الرسالة النصية أو تطبيق المصادق أو تسجيل الدخول بنقرة واحدة، يمكنهم خداع الأهداف وسرقة تلك المعلومات».
وأكدت شركة Certfa أن هذه التقنية خرقت بنجاح الحسابات المحمية بواسطة المصادقة الثنائية القائمة على الرسائل النصية القصيرة.
وبدأت هذه الحملة الجديدة من قبل إيران قبل أسابيع قليلة من فرض الولايات المتحدة عقوبات على إيران في الرابع من نوفمبر، واستهدفت السياسيين والمدنيين ونشطاء حقوق الإنسان والصحفيين والمدافعين البارزين، ومنتقدي الاتفاق النووي الذي وقع بين واشنطن وطهران،
وعلماء الذرة، وشخصيات المجتمع المدني الإيراني، وموظفي مراكز الأبحاث في واشنطن، ونحو 12 مسؤولا في وزارة الخزانة الأمريكية.
صفحات ضارة
استضافت حملة التصيد في النظام الإيراني صفحات ضارة على sites.google.com وأرسلت رسائل بريد الكتروني من عناوين، مثل [email protected] و[email protected] لإضفاء جو من الشرعية على عمليات الاحتيال وجعل الأهداف التي تعتقد أنها تم الاتصال بهم من قبل جوجل.
كما استخدموا نحو 20 نطاقا منفصلا للانترنت لتتوافق مع استخدام البريد الالكتروني لأهدافهم، ونصحت الشركة بأن بعض هذه النطاقات وعناوين IP ساعدت في ربط المخادعين بمجموعة القراصنة الإيرانية المعروفة «Charming Kitten».
وقالت مصادر أمنية «إن مخترقي النظام الإيراني جمعوا معلومات تفصيلية عن الأهداف التي استخدموها في كتابة رسائل البريد الالكتروني المخترقة التي تتناسب مع مستوى الأهداف للأمن التشغيلي، وتحتوي هذه الرسائل على صورة مخفية تنبه المتسللين في الوقت الفعلي عند قراءة الرسائل، وبمجرد أن يدخل الهدف كلمات المرور الخاصة بهم في صفحة الأمان المزورة، يمكن للمهاجمين إدخال المعلومات في صفحة تسجيل الدخول الحقيقية.
وحتى إذا كانت الأهداف تستخدم مصادقة ثنائية، فسيعاد توجيهها إلى صفحة جديدة تطلب كلمة المرور لمرة واحدة بحسب موقع المجلس الوطني للمقاومة الإيرانية».
وكتب باحثون أخيرا، «بعبارة أخرى، فإن المخترقين يتحققون من أسماء المستخدمين وكلمات المرور للضحايا في الوقت الفعلي على خوادمهم الخاصة، وحتى إذا تم تمكين المصادقة الثنائية، مثل الرسالة النصية أو تطبيق المصادق أو تسجيل الدخول بنقرة واحدة، يمكنهم خداع الأهداف وسرقة تلك المعلومات».
وأكدت شركة Certfa أن هذه التقنية خرقت بنجاح الحسابات المحمية بواسطة المصادقة الثنائية القائمة على الرسائل النصية القصيرة.
وبدأت هذه الحملة الجديدة من قبل إيران قبل أسابيع قليلة من فرض الولايات المتحدة عقوبات على إيران في الرابع من نوفمبر، واستهدفت السياسيين والمدنيين ونشطاء حقوق الإنسان والصحفيين والمدافعين البارزين، ومنتقدي الاتفاق النووي الذي وقع بين واشنطن وطهران،
وعلماء الذرة، وشخصيات المجتمع المدني الإيراني، وموظفي مراكز الأبحاث في واشنطن، ونحو 12 مسؤولا في وزارة الخزانة الأمريكية.
صفحات ضارة
استضافت حملة التصيد في النظام الإيراني صفحات ضارة على sites.google.com وأرسلت رسائل بريد الكتروني من عناوين، مثل [email protected] و[email protected] لإضفاء جو من الشرعية على عمليات الاحتيال وجعل الأهداف التي تعتقد أنها تم الاتصال بهم من قبل جوجل.
كما استخدموا نحو 20 نطاقا منفصلا للانترنت لتتوافق مع استخدام البريد الالكتروني لأهدافهم، ونصحت الشركة بأن بعض هذه النطاقات وعناوين IP ساعدت في ربط المخادعين بمجموعة القراصنة الإيرانية المعروفة «Charming Kitten».