چگونه لینک های جعلی را که کلاهبرداران برای سرقت رمزارز شما استفاده می کنند، تشخیص دهیم؟

به گزارش زوم ارز، به گفته یک مهندس امنیت سایبری، هکرها در حال تمام تلاش برای دزدیدن دارایی‌های ارز دیجیتال کاربران Zoom از طریق یک طرح پیچیده توزیع بدافزار مبتنی بر فیشینگ می‌باشند.

برای اطلاع از تمامی اخبار کانال تلگرام ما را دنبال کنید

در یک توییت اخیر در ابتدای هفته، یک مهندس امنیت سایبری با نام مستعار NFT_Dreww.eth توجه را به طرح جدیدش جلب کرد. او اظهار کرد که کلاهبرداران هر روزه مختصر و پرزحمت تر می‌شوند و روش‌های تقلب خود را به گونه‌های جدیدی تطویر داده‌اند، که در صورت فعالسازی، همه اطلاعات شما را به دست می‌آورند. او ادعا کرد که بیش از ۳۰۰ هزار دلار تا کنون از دست آن‌ها رفته است.

مجرمان به طور معمول از فرصت‌های ایجاد شده برای نزدیک شدن به قربانیان پتانسیل استفاده می‌کنند. به عنوان مثال، آنها ممکن است ادعا کنند که به دنبال مجوز مالکیت معنوی از قربانی هستند، آنها را به عنوان مهمان در فضای توییتر دعوت کنند یا از آنها بخواهند که سرمایه‌گذاران فرشته باشند و یا به تیم پروژه خود بپیوندند.

سپس آنها تاکید می‌کنند که درباره این فرصت از طریق Zoom صحبت کنند. این فرصت برای کلاهبرداران فرصتی ایجاد می‌کند تا پیوند مخرب را با دیگران به اشتراک بگذارند. مهاجمان همچنین از تاکتیک‌های فشار بالا استفاده می‌کنند، از جمله ارسال یک عکس از یک تماس زوم که پر از افرادی است که منتظر قربانی هستند.

حتی اگر فرد Zoom را نصب کرده باشد، صفحه ابتدایی که ظاهر قانونی دارد و خواستار بارگیری هنگام دانلود فایل ZoomInstallerFull.exe است، در واقع از بدافزار استفاده می‌کند. این بدافزار خود را به عنوان یک نصب کننده Zoom در اختیار قربانیان قرار می‌دهد و آن‌ها را وادار به پذیرش شرایط و ضوابطی می‌کند که کاربران ویندوز هنگام نصب نرم‌افزارهای جدید عادت دارند آن را مشاهده کنند.

وقتی نصب کامل شد، صفحه بارگیری تماس همچنان چرخ می‌خورد تا زمانی که کاربر به وب‌سایت جعلی Zoom منتقل شود. درو به این استنباط رسید که این کار به منظور ایجاد تردید در کاربر انجام شده است تا به نظر برسد مشکلی رخ داده یا بارگذاری همیشگی زمان ببرد. زمانی که این اتفاق افتاد، بدافزار قبلی اجرا شده بوده و عملکرد خود را کامل کرده بود.

هنگامی که فایل اجرا می‌شود، بدافزار بلافاصله اقدام به اجرا می‌کند و خود را در لیست محرومیت‌های Windows Defender قرار می‌دهد، که باعث می‌شود ویندوز قادر به مسدود کردن آن نشود. در این مرحله، بدافزار شروع به اجرای محموله‌ خود و استخراج اطلاعات کاربر می‌کند، در حالی که قربانی منتظر صفحه تماس ویدیویی است و شرایط و ضوابط وانمودی را می‌پذیرد.

درو تاکید کرد که در این مورد، نرم افزارهای تشخیص ویروس ممکن است نتوانند این نوع بدافزار را شناسایی کنند.

هنگامی که با بدافزار به این اندازه مشغول هستید، اغلب ابزارهایی همچون ویروس توتال نمی‌توانند آن را شناسایی کنند. این ابزارها تنها به عنوان یک فاکتور بررسی استفاده می‌شوند و نباید به عنوان منبع اطمینانی در نظر گرفته شوند. واقعیت این است که ویروس توتال بسیار موثر است، اما اگر نیازهای ویژه‌ی خود را در نظر نگیرید، ممکن است به شما آسیب برساند.

Artem Irgebaev, یک تریگر قرارداد هوشمند در شرکت Immunefi است و در گفتگو با Decrypt تأکید کرد که به اثربخشی آنتی ویروس بستگی دارد که آیا بدافزار قبل از ارسال به هدف رمزگذاری شده است یا خیر. او بیان کرد که در بیشتر موارد، این مسئله تأثیرگذار نیست، زیرا افرادی که حملات خود را طراحی می‌کنند، بدافزارهای خود را پیش از هدف گیری رمزگذاری می‌کنند تا جلوی شناسایی آنها را بگیرند.

Sudipan Sinha، کارآفرین اصلی در RiskLayer و CEO شرکت Chainrisk Labs، تأکید دارد که استناد به نرم افزارهای آنتی ویروس نقص‌هایی دارد. او توضیح داده است که اکسپلویت‌های روز صفر، که برای پایگاه داده‌های آنتی ویروس کاملاً جدید و نامعلوم هستند، چالش مهمی ایجاد می‌کنند.

علاوه بر این، نرم‌افزارهای آنتی‌ویروس قادر به مقابله با تاکتیک‌های مهندسی اجتماعی که به کاربران فرصت دانلود بدافزار را می‌دهند، نمی‌باشند. بنابراین، هر چند که وجود یک نرم‌افزار آنتی‌ویروس امری بسیار حیاتی برای حفاظت از امنیت سایبری است، اما مقابله کارآمد با حملات پیچیده نیازمند اقدامات امنیتی گسترده‌تر و آگاهی کاربران است.

پیوندهای بزرگنمایی واقعی منابع و موارد مختلف هستند.

پیوندهای درگیر در این کمپین فیشینگ شبیه به پیوندهای قانونی زوم هستند، همان‌طور که Drew شرح داده است. به عنوان مثال، Zoom از دامنه zoom.us و زیر دامنه‌ها بر اساس موقعیت جغرافیایی استفاده می‌کند، به طوری که یک کاربر مستقر در ایالات متحده ممکن است به us02web.zoom.us منتقل شود.

لینک‌های مخرب گاهی از زیر دامنه us50web.us برای بزرگنمایی دامنه استفاده می‌کنند، از سوی دیگر. به عنوان مثال، Drew به دامنه us50web-zoom.us اشاره می‌کند، که از زیردامنه zoom.us50web.us مشتق شده است. در نگاه اول، ممکن است zoom.us50web.us به نظر معقول بیاید، به واسطه طرح نام‌گذاری گیج‌کننده دامنه‌ها و زیردامنه‌های Zoom که در اینجا به کار رفته است.

او توضیح داد: «بسیار مهم است که بدانید «-» چیزی را به یک دامنه فرعی تبدیل نمی‌کند، این بخشی از یک دامنه سطح بالاست که افراد زیادی را فریب می‌دهد.

درو تکیه بیشتر بر اهمیت آن تأکید داشت که حتما باید توجه کافی را به خود جلب کنید تا از حملات فنی مانند حملات مهندسی اجتماعی جلوگیری کنید.

نتیجه‌ی یافته شد که: “در این زمینه بسیار ساده است… شک دارم که ۸۰ درصد افراد، هر نوع پیوندی که ارسال می‌شود را تأیید می‌کنند، به ویژه پیوند‌های مربوط به زوم”. به همین ترتیب، Irgebaev به یادآوری کرد که “استفاده از یک دامنه‌ی زوم جعلی بسیار به خلاقیت می‌انجامد و باعث افزایش تعداد افرادی می‌شود که احتمالا به بدافزار دامنه خورده و آن را دانلود می‌کنند”.

رمزنگاری جرم یک موضوع قدیمی است و نوآوری جدیدی نبوده است.

همان‌طور که در اوایل این هفته گزارش شده بود، ارزیابی جدیدتر در خصوص تهدیدات جرایم سازمان‌یافته در فضای اینترنتی توسط یوروپل نشان داد که جرایم مربوط به رمزنگاری همچنان در حال تکامل و گسترش می‌باشند. به طور اضافه، تحقیقات اخیر نشان داده‌اند که با توجه به اینکه استفاده از رمزنگاری و تأکید بر حفظ حریم خصوصی به طور غیرمتمرکز به‌خوبی انجام می‌شود، وضعیت بحرانی‌تر می‌شود.

نویسندگان ذکر کردند که تمرکززدایی، فناوری بلاک‌چین و شبکه‌های P2P همچنان فرصت‌هایی برای افرادی که در جرایم سایبری فعالیت می‌کنند، فراهم می‌کنند. این فناوری‌ها با امکان انجام تراکنش‌های ناشناس و دور از نظر مقامات، روند انجام جرائم را آسان‌تر می‌کنند.

منبع: decrypt.co

بیشتر بخوانید

• ارز دیجیتال چیست؟ | عملکرد و ویژگی های ارز دیجیتال
• کیف پول‌ دیجیتالی چیست؟
• صرافی غیر متمرکز چیست ؟ | معرفی بهترین صرافی های غیرمتمرکز
• ماینینگ یا استخراج چیست؟ | منظور از استخراج ارز دیجیتال چیست؟