ادعای حمله فیشینگ هکرهای ایرانی علیه مقامات ارشد اسرائیل

چک پوینت در بیانیه‌ای ضمن تشریح این حمله گفت که هکرها از طیف گسترده‌ای از حساب‌های ایمیل جعلی برای جعل هویت افراد مورد اعتماد، تصرف حساب‌های اهداف، سرقت اطلاعات و استفاده از آن برای حمله به اهداف جدید استفاده کرده‌اند. طبق ادعای شرکت، در بسیاری موارد مکاتبات ایمیلی یا اسنادی که مهاجمان به آن‌ها پیوند داده‌اند، به مسائل امنیتی مرتبط با ایران و اسرائیل اشاره دارند.

چک پوینت اظهار داشت که براساس تحلیل‌های انجام شده، این حمله به‌وسیله یک گروه ایرانی موسوم به فسفر (Phosphorus) انجام شده که سابقه طولانی در انجام عملیات‌های سایبری برجسته در راستای منافع تهران و همچنین هدف قرار دادن مقامات اسرائیلی دارد.

به استثنای لیونی که موافقت کرد نامش فاش شود، اهداف دیگر از سوی چک پوینت با ادعای محافظت از حریم خصوصی بیان نشدند. فهرست اهداف همچنین شامل یک مقام مشهور سابق در ارتش رژیم صهیونیستی در پستی بسیار حساس، رئیس فعلی یکی از اندیشکده‌های امنیتی پیشرو اسرائیل، رئیس سابق یک مرکز تحقیقات معروف در خاورمیانه و یکی از مدیران ارشد صنایع دفاعی اسرائیل هستند.

براساس ادعای شرکت چک پوینت، هکرها اکانت صندوق ورودی برخی قربانیان را تصاحب کردند و سپس مکالمات ایمیل موجود را ربودند تا حملات را از یک مکالمه ایمیل از قبل موجود بین یک هدف و یک طرف مورد اعتماد شروع کنند و این مکالمه را در ظاهر ادامه دهند؛ آنها یک وب‌سایت کوتاه‌کننده URL جعلی ایجاد کردند تا پیوندهای فیشینگ را پنهان کنند و آن را «Litby[.]us» نامیدند، که ظاهراً سعی می‌کردند شبیه سرویس محبوب کوتاه‌کننده «URL Bitly» باشد؛ هکرها همچنین از یک سرویس تأیید هویت قانونی به نام «validation.com» برای سرقت اسناد هویتی استفاده کردند.

چک پوینت مدعی شد :

«به نظر می‌رسد هدف قابل مشاهده از این عملیات، دسترسی به صندوق ورودی قربانیان، اطلاعات قابل شناسایی شخصی و اسناد هویتی آنها باشد.»

کارشناسان شرکت امنیت سایبری ادعا کردند که فردی با جعل هویت مقام سابق ارتش اسرائیل با لیونی، دیپلمات سابق و سیاستمدار کهنه‌کار، که به عنوان وزیر امور خارجه، معاون نخست وزیر و وزیر دادگستری خدمت می‌کرد، از طریق ایمیل تماس گرفت تا پس از کنترل حساب، از حساب ایمیل معتبر استفاده کند؛ این ایمیل حاوی پیوندی به فایلی بود که مهاجم از لیونی خواسته بود آن را باز کند. به گفته چک پوینت، زمانی که او انجام این کار را به تأخیر انداخت، مهاجم چندین بار به او نزدیک شد و از او خواست که فایل را با استفاده از رمز عبور ایمیلش باز کند و همین امر شک او را برانگیخت.

در بیانیه شرکت آمده است :

«درنهایت تأیید شد که منبع اصلی هرگز چنین ایمیلی را برای لیونی ارسال نکرده است. او سپس برای بررسی این رویداد مشکوک به چک پوینت نزدیک شد.»

بنابر ادعای چک پوینت، در موردی دیگر مهاجمان جعل هویت یک دیپلمات آمریکایی، سفیر سابق ایالات متحده در اراضی اشغالی و رئیس اتاق فکر امنیتی، را هدف قرار دادند. آنها مکاتبات ایمیلی را آغاز کردند که یک موضوع کپی واقعی بین این 2 مقام را از 2 هفته قبل دنبال کرد، که از صندوق ورودی یکی از آنها به سرقت رفته بود.

چک پوینت گفت که این کمپین دارای چندین ویژگی از جمله یک صفحه ورود جعلی یاهو کپی شده از یک آدرس IP ایرانی و یک بخش از کد که نشان می‌دهد شاید در حمله قبلی فسفر نیز استفاده شده باشد است و ظاهراً به‌وسیله یک نهاد تحت حمایت ایران اداره می‌شود.

این خبر 2 روز پس از آن منتشر شد که رسانه‌های عبری گزارش دادند که آژانس‌های امنیتی اسرائیل و ترکیه در ماه گذشته طرحی از سوی ایران برای ربودن گردشگران اسرائیلی در ترکیه را کشف کرده‌اند و آن را در کوتاه‌مدت خنثی کردند. اسرائیل از آن زمان هشدار سفر به استانبول را صادر کرد.

ماه گذشته، آژانس امنیتی شین‌بت ادعا کرد که تلاش عوامل ایرانی را برای فریب دانشگاهیان، بازرگانان و مقامات سابق دفاعی اسرائیل خارج از اراضی اشغالی، در تلاش برای ربودن یا آسیب رساندن به آنها، کشف و خنثی کرده است؛ این سازمان جاسوسی همچنین در ماه می سال جاری عنوان کرد که یک عملیات ایران را کشف کرده که با استفاده از یک نمایه جعلی در شبکه‌های اجتماعی سعی در استخدام غیرنظامیان اسرائیلی برای جمع‌آوری اطلاعات در مورد اهداف اسرائیلی داشته است.

شین‌بت هشدار داد که سازمان اطلاعات ایران به طور مداوم به دنبال جذب اسرائیلی‌ها از طریق اینترنت به منظور جمع‌آوری اطلاعات است.

آنها ادعا کردند که سال گذشته، یک مرد اسرائیلی از سوی یک عامل ایرانی فریب خورد تا به امارات متحده عربی سفر کند، اما پس از شنیدن تلاش‌های ایران برای ربودن یا آسیب رساندن به شهروندان اسرائیلی، سفر خود را متوقف کرد.

در سال 2020، شین‌بت یک شهروند اسرائیلی دیگر را مظنون به جاسوسی برای ایران دستگیر کرد.