کلاهبرداری فیشینگ Lucid از مکانیزم امنیتی iMessage و RCS سوءاستفاده می‌کند

عملیات فیشینگ توسط گروه‌های چینی با سوءاستفاده از ضعف‌های پروتکل‌های پیام‌رسانی موبایل در حال گسترش است. نرم‌افزارهای iMessage و (Rich Communication Services) RCS به‌ترتیب روش‌های پیش‌فرض ارسال پیام در آیفون و اندروید هستند که برخلاف پیامک‌های سنتی (SMS/MMS) از رمزگذاری سرتاسری(end-to-end encryption)، رسید خواندن، کیفیت بالاتر رسانه‌ها و محدودیت‌های کمتر در اندازه پیام‌ها و فایل‌ها بهره می‌برند؛ اما اکنون، توسعه‌دهندگان بدافزارهای چینی راهی برای دور زدن و سوءاستفاده از این ویژگی‌های پیشرفته پیدا کرده‌اند.

نتیجه این تلاش‌ها، ظهور Lucid است که یک پلتفرم فیشینگ به‌عنوان سرویس (PhaaS) است. این پلتفرم توسط همان افرادی توسعه داده شده که Darcula را نیز ایجاد کردند. Lucid از قابلیت‌های امنیتی iMessage و RCS علیه خودشان استفاده می‌کند تا پیام‌های فیشینگ را بدون شناسایی ارسال کند.

بر اساس اطلاعات جمع‌آوری‌شده توسط شرکت Prodaft، میزان موفقیت حملات فیشینگ Lucid حدود ۵% است، درصدی که در مقایسه با نرخ معمول کمتر از ۲% برای حملات فیشینگ، بسیار قابل توجه محسوب می‌شود. محققان، Lucid را در حال جعل هویت ۱۶۹ سازمان در ۸۸ کشور ردیابی کرده‌اند. این سازمان‌ها شامل ادارات پست ملی (مانند Australia Post، Botswana Post، Royal Mail) ، شرکت‌های پستی و حمل‌ونقل (مانند DHL در آلمان، عراق و ماداگاسکار) ، سرویس‌های تحویل غذا، خرده‌فروشی‌ها، مؤسسات مالی و نهادهای دولتی هستند. به گزارش این شرکت هم افراد و هم سازمان ها باید نگران باشند زیرا که افراد در معرض خطر سرقت مالی و هویت قرار دارند، در حالی که سازمان‌ها با آسیب به برند و کاهش اعتماد عمومی روبه‌رو خواهند شد.

توضیح مختصر در مورد Dracula

ابزار فیشینگ Darcula یک پلتفرم فیشینگ به‌عنوان سرویس (PhaaS) است که به مهاجمان امکان می‌دهد با استفاده از بیش از ۲۰۰ قالب فیشینگ، برندهای مختلفی در بیش از ۱۰۰ کشور را جعل کنند. این قالب‌ها شامل برندهای معتبری مانند Netflix و Poshmark و همچنین شرکت‌های منطقه‌ای مانند Vodafone قطر و UPS مکزیک می‌شوند. بیشتر این قالب‌ها برای تقلید از شرکت‌های خدمات پستی و تحویل کالا طراحی شده‌اند. Darcula، به کاربران اجازه می‌دهد تا با کپی و پیست کردن هر URL در رابط کاربری Darcula، بدون نیاز به مهارت فنی یک ابزار فیشینگ کامل برای آن برند ایجاد کنند. این ویژگی به مهاجمان امکان می‌دهد تا هر برندی را به‌سادگی جعل کنند و حملات فیشینگ مؤثرتری انجام دهند.

عملکرد Lucid: از پیام‌های جعلی تا سرقت اطلاعات بانکی

اگر تاکنون پیامکی درباره پرداخت عوارض جاده‌ای، هزینه حمل‌ونقل یا مالیات معوقه دریافت کرده‌اید، این دقیقاً همان روشی است که Lucid قربانیان خود را فریب می‌دهد.

قربانیان با کلیک روی لینک‌های جعلی، به صفحات فیشینگ بسیار مشابه با وب‌سایت‌های رسمی مانند خدمات پستی، شرکت‌های حمل‌ونقل یا سازمان‌های مالیاتی هدایت می‌شوند، جایی که از آنها درخواست می‌شود اطلاعات کارت بانکی خود را وارد کنند.

با Lucid، مهاجمان می‌توانند:

• کمپین‌های فیشینگ متناسب با برندهای معتبر طراحی کنند (با استفاده از دامنه‌ها و آیکون‌های مشابه).
• حملات خود را بر اساس نوع دستگاه (آیفون یا اندروید) یا موقعیت جغرافیایی محدود کنند.
• از لینک‌های کوتاه‌شده و یک‌بارمصرف برای دور زدن شناسایی امنیتی استفاده کنند.
• چندین مهاجم را در یک پروژه به‌صورت هم‌زمان مشارکت دهند.
• نتایج حملات را در لحظه ردیابی کنند (شامل تعداد قربانیان و اطلاعات بانکی سرقت‌شده).
• بعضی از مهاجمان Lucid از مزارع موبایل(mobile phone farms) استفاده می‌کنند(ده‌ها گوشی که هم‌زمان برای ارسال حجم عظیمی از پیام‌های فیشینگ به کار گرفته می‌شوند).

چگونه Lucid شناسایی نمی‌شود؟

پیام‌های SMS رمزگذاری نشده‌اند. از نظر تئوری، این موضوع به ارائه‌دهندگان خدمات مخابراتی امکان می‌دهد که کمپین‌های اسپم را در سطح شبکه اسکن و مسدود کنند، البته در صورتی که فعالیت آنها به‌اندازه کافی گسترده باشد.

از سوی دیگر، پیام‌های ارسال‌شده از طریق RCS یا iMessage دارای رمزگذاری یکپارچه هستند. اگرچه پیام‌های iMessage مستقیماً از طریق سرورهای اپل ارسال می‌شوند، اما اپل نمی‌تواند محتوای آنها را در حین انتقال بخواند.

Lucid از این ویژگی امنیتی سوءاستفاده کرده و پیام‌های فیشینگ را از طریق iMessage و RCS ارسال می‌کند، در واقع این قابلیت امنیتی را به یک نقطه‌ضعف تبدیل می‌کند.

حتی اگر اسپم در حین انتقال محافظت شود، همچنان می‌توان آن را در مقصد شناسایی کرد. برای جلوگیری از شناسایی در دستگاه‌های اندروید، Lucid به‌طور مداوم شماره‌های تلفن و دامنه‌های مرتبط با کمپین‌های اسپم را تغییر می‌دهد. همچنین، برای دور زدن مقررات iMessage درباره‌ی لینک‌ها، پیام اولیه‌ای که برای کاربران آیفون ارسال می‌شود، از آنها می‌خواهد که با ارسال حرف “Y” پاسخ دهند، تا بدین ترتیب یک ارتباط دوسویه‌ی ظاهراً واقعی ایجاد شود.

حملات جهانی فیشینگ Lucid

Lucid در حال حاضر یکی از اصلی‌ترین محرک‌های حملات فیشینگ در ایالات متحده، بریتانیا و اروپا است. هدف اصلی این حملات سرقت اطلاعات کارت‌های بانکی است. گروه پشت Lucid و Darcula که “XinXin” یا “Black Technology” نام دارد، مدعی است که روزانه بیش از ۱۰۰,۰۰۰ کارت بانکی را سرقت می‌کند.

حتی اگر این عدد اغراق‌شده باشد، آمار واقعی هم چندان آرامش‌بخش نیست. محققان فقط در یک هفته، نمونه‌ای از یک سایت فیشینگ Lucid را شناسایی کردند که ۵۵۰ بازدیدکننده داشته و از ۳۰ نفر اطلاعات کارت بانکی را سرقت کرده بود. در حال حاضر، پلتفرم فروش Lucid در تلگرام ۲۰۰۰ عضو دارد و برخی از این اعضا، حملات فیشینگ را به طور وسیع اجرا می‌کنند.

نرخ موفقیت Lucid به‌طور قابل‌توجهی بالاتر از میانگین حملات فیشینگ است. ترکیب فریبکاری در پیام‌رسان‌ها، توانایی تعیین محدوده جغرافیایی و زمان‌بندی دقیق پیام‌های فیشینگ، این حملات را بسیار مؤثر کرده است.

منابع: