安全公司 Check Point Research发现了一项黑客活动,该活动涉及网络攻击者冒充伊朗政府机构,通过短信感染伊朗公民的移动设备。
短信敦促受害者下载与伊朗官方服务(例如伊朗电子司法服务)相关的 Android 应用程序。第一条消息通常声称已针对受害者提出投诉,并且需要下载应用程序才能做出回应。
下载后,这些应用程序允许黑客访问受害者的个人消息。受害者被要求输入信用卡信息以支付服务费,从而使攻击者可以访问现在可以使用的信用卡信息。通过访问受害者的个人消息,攻击者还可以通过两因素身份验证。
Check Point Research 表示,该活动正在进行中,并被用于感染数万台设备。除了 Check Point 的报告外,伊朗公民还在 社交媒体上抱怨这些骗局。一些伊朗新闻媒体也在报道这个问题。
该网络安全公司解释说:“威胁行为者然后继续进行未经授权的取款,并将每个受感染的设备变成机器人,将恶意软件传播给其他人。CPR 将攻击归因于威胁行为者,可能在伊朗,他们有经济动机。”
“CPR 估计数以万计的 Android 设备成为受害者,导致数十亿伊朗里亚尔被盗。威胁行为者正在使用 Telegram 渠道以低至 50 美元的价格交易涉及的恶意工具。CPR 的调查显示,从受害者设备窃取的数据已经没有受到保护,使得第三方可以在线自由访问。”
Check Point 的 Shmuel Cohen 在一次活动中表示,在不到 10 天的时间里,就有超过 1,000 人下载了该恶意应用程序。即使他们没有输入信用卡信息,他们的设备也会成为僵尸网络的一部分。
检查点研究
Check Point 威胁情报团队负责人 Alexandra Gofman 告诉 ZDNet,这些攻击似乎是一种网络犯罪,并不归因于任何国家支持的行为者。
戈夫曼说,这些网络攻击的速度和传播范围是空前的,并补充说这是针对普通大众的一场在金钱上取得成功的活动的一个例子。
“尽管其工具质量低下且技术简单,但该活动利用社会工程并对其受害者造成重大经济损失。其成功有几个原因。首先,当涉及官方的政府信息时,普通公民倾向于进一步调查,点击提供的链接,”戈夫曼说。
“其次,由于这些攻击的僵尸网络性质,每个受感染的设备都获得分发额外网络钓鱼 SMS 消息的命令,这些活动迅速传播到大量潜在受害者。尽管这些特定活动在伊朗很普遍,但它们可以采取放在世界任何其他地方。我认为提高对恶意行为者采用的社会工程计划的认识很重要。”Check Point 解释说,攻击背后的网络犯罪分子正在使用一种称为“smishing botnets”的技术。已被入侵的设备用于向其他设备发送 SMS 消息。该技术背后的人现在以高达 150 美元的价格在 Telegram 上向其他人提供它,为任何人提供轻松发起类似攻击的基础设施。尽管伊朗警方能够逮捕其中一名罪犯,但现在伊朗仍有数十名不同的网络犯罪分子在使用该工具。
该公司估计,大多数受害者大约被盗了 1,000 至 2,000 美元。攻击者还在网上向其他人提供窃取的个人信息。
戈夫曼补充说,伊朗普通民众现在处于网络攻击严重影响日常生活的境地。
戈夫曼说,这些攻击始于铁路,并指出该公司将这次攻击追溯到一个名为 Indra 的组织。
“攻击继续发生在加油站,然后是国家航空公司。现在,我们看到了另一起网络攻击,表明即使是纯粹的网络犯罪也能成为头条新闻和混乱,伤害伊朗的许多人,”戈夫曼说。
“虽然我们没有看到这些最新的网络攻击与上述主要攻击之间存在直接联系,但我们的最新见解表明,即使是简单的网络攻击也会对伊朗普通民众造成重大损害。”
文章转载自安全圈