هکرهای روسی از طریق برنامه‌های جعلی گوگل به سرقت اطلاعات مردم می‌پردازند

گروه هکری روسی که متهم به دخالت در انتخابات ایالات متحده و اروپا هست، با نفوذ به حساب‌های ایمیل افراد، نه تنها قربانیان را برای لو دادن کلمات عبور فریب می‌دهد، بلکه به سرقت توکن های دسترسی نیز می‌پردازد.

به گزارش پایداری ملی، این هکرها باعث نگرانی جهانیان شده‌اند زیرا آن‌ها می‌توانند تأیید هویت 2 مرحله‌ای گوگل را نیز دور بزنند.

این گروه، که به عنوان‌های Fancy Bear یا Pawn Storm شناخته شده از تاکتیک مورد علاقه خود یعنی ارسال ایمیل فیشینگ برای حملات سایبری‌شان استفاده می‌کند.

حمله هکری به این شکل آغاز می‌شود که یک ایمیل جعلی تحت عنوان «حساب شما در خطر است» برای مخاطب فرستاده می‌شود و او فکر می‌کند این ایمیل از سوی گوگل ارسال شده است.

به گفته شرکت امنیتی‌ترند میکرو این ایمیل ادعا می‌کند گوگل چندین تلاش مشکوک برای ورود به حساب شما را شناسایی کرده است. سپس آن به کاربر توصیه می‌کند که یک نرم افزار امنیتی به نام ” Google Defender ” را بر روی سیستم خود نصب نماید. در واقع، هکرها تلاش می‌کنند کاربران را برای لو دادن توکن های دسترسی خاص مربوط به حساب گوگلشان فریب دهند.

اگر این حقه بگیرد، فرد به یک صفحه واقعی گوگل تغییر مسیر داده می‌شود، در نتیجه برنامه مخصوص این گروه هکری امکان مشاهده و مدیریت ایمیل قربانی را فراهم می‌کند. کاربرانی که بر روی "Allow” کلیک کنند، اجازه دسترسی به توکنی تحت عنوان OAuth را به هکرها می‌دهند.

البته پروتکل OAuth هیچ کلمه عبوری را منتقل نمی‌کند و صرفاً برای اعطای دسترسی به برنامه‌های شخص ثالث به حساب‌های اینترنت از طریق استفاده از توکن های خاص طراحی شده است.

پروتکل OAuth، برای راحتی کارها طراحی شده اما کارشناسان امنیتی هشدار داده‌اند می‌تواند برای اهداف مخرب نیز استفاده شود. برای مثال گروه Fancy Bear، از این پروتکل برای ساخت برنامه‌های جعلی خود استفاده کرده تا امکان دسترسی به حساب قربانیان برای هکرها فراهم شود.

همان‌طور که اشاره کردیم حتی تأیید هویت دو مرحله‌ای گوگل نیز نمی‌تواند از این دسترسی غیر مجاز به حساب ایمیل افراد جلوگیری کند.

این تأیید هویت به گونه‌ای است که برای ورود به حساب خود نه تنها به یک رمز عبور احتیاج دارید، بلکه باید یک کد خاص که به گوشی هوشمند شما فرستاده شده را وارد نمایید.

هر چند این روش برای محافظت از حساب شما مؤثر است اما در حملات فیشینگ این گروه روسی، تائید هویت دو مرحله‌ای گوگل کاری از پیش نمی‌برد و در واقع کاربران از طریق برنامه جعلی امنیتی گوگل فریب می‌خورند و امکان دسترسی به حساب خود را به دست هکرها می‌دهند.

حتی افراد ممکن است با ایمیل‌های فیشینگ عمومی آشنایی داشته باشند اما از حقه‌های سوء استفاده از OAuth نه. به همین خاطر حتی ممکن است افراد آموزش دیده شده در مورد حملات فیشینگ باز هم در این مورد بخصوص گول بخورند.

گوگل در این رابطه بیان داشته برای حفاظت کاربران از چنین حملات فیشینگ، اقدامات بسیاری لازم به انجام است.

کاربران باید توجه داشته باشند که یک برنامه واقعی گوگل باید به طور مستقیم از سایت گوگل و یا از فروشگاه‌های رسمی مانند اپ استور اپل و یا گوگل پلی مورد دانلود قرار گیرد.

دیگر نام‌هایی که برای برنامه‌های جعلی گوگل توسط گروه هکری Fancy Bear در نظر گرفته شده عبارت‌اند از Google Email Protection و Google Scanner.

در کل در این حمله برای دسترسی به ایمیل کاربران از برنامه‌های شخص ثالث و جعلی گوگل استفاده می‌شود. بنابراین کاربران اینترنت هرگز نباید به درخواست‌های توکن OAuth از سوی یک منبع یا سرویس ناشناخته جواب مثبت بدهند.

به همین خاطر بهتر است کاربر بررسی کند که کدام برنامه شخص ثالث به حساب ایمیل وی دسترسی دارد. برای فهمیدن این موضوع کافی است تا سری به تنظیمات امنیتی حساب کاربری ایمیل خود بزند. به این ترتیب می‌تواند در صورت لزوم به لغو دسترسی برخی از برنامه‌ها اقدام نماید.

گروه هکری مذکور نه تنها ایمیل حزب دموکرات آمریکا را هک نموده بلکه بسیاری از وزارتخانه‌ها، سازمان‌های رسانه‌ای، دانشگاه‌ها و اتاق‌های فکر سراسر جهان را مورد هدف قرار داده است.

گزارش خطا