مجرمان سایبری چطور از همه‌گیری ویروس کرونا برای کلاهبرداری استفاده کردند؟

به گزارش کارگروه امنیت سایبربان محققان اخیرا به بررسی اثرات همه‌گیری جهانی ویروس کرونا بر فعالیت‌های مجرمان سایبری و کشف ترندهای مرتبط بین کووید-۱۹ و اقدامات خرابکارانه پرداخته‌اند. شرکت «ترند مایکرو» به‌خصوص بر موضوع وابستگی فزاینده مردم به سرویس‌های آنلاین تمرکز داشته و چگونگی نفوذ هکرها به این حوزه‌ها را بررسی کرده است.

با توجه به تعطیلی دفاتر فیزیکی شرکت‌ها و خانه‌نشینی مردم، کسب و کارها خدمات خود را به صورت آنلاین عرضه کردند و تمرکز بر تجارت الکترونیک را افزایش دادند. دولت و شرکت‌های پزشکی هم به یک‌باره آنلاین شدند تا بخشی از خدمات و هماهنگی کارهایشان را مبتنی بر اینترنت انجام دهند. این اتفاق موجب شد مجرمان سایبری بیشتر از قبل خود را به جای نهادهای مختلف جا بزنند.

محققان ترند مایکرو می‌گویند: «مجرمان سایبری معمولا خود را به جای نهادهای شناخته‌شده جا می‌زنند و به جای آن‌ها ایمیل، وب‌سایت یا اپلیکیشن جعلی می‌سازند. به همین دلیل، کاربران کار سخت‌تری برای تشخیص خدمات واقعی و جعلی دارند. این مسئله به‌ویژه برای کسانی مثل سالمندان چالش‌برانگیزتر است که برای اولین بار تا این حد به سیستم‌های آنلاین متکی شده‌اند.»

بحث ترویج اطلاعات نادرست هم نگران‌کننده است و واکنش شرکت‌هایی مثل فیسبوک و توییتر را در پی داشته. هکرها از آغاز جهانی تزریق واکسن ویروس کرونا به عنوان جدیدترین روش مهندسی اجتماعی استفاده کرده‌اند. مطابق جدیدترین اطلاعات شرکت ترند مایکرو، تعداد کارزارهای اسپم که از موضوع واکسن برای انتشار بدافزارها استفاده کرده‌اند در آمریکا، ایتالیا، آلمان و چند کشور دیگر افزایش یافته است.

در یکی از این کارزارها از تروجانی به نام Fareit استفاده شده، و ایمیل‌ها با نام سازمان بهداشت جهانی به دست قربانیان رسیده است. عنوان این ایمیل‌ها شامل «ویروس کرونا»، «واکسن ویروس کرونا»، «انتشار واکسن بیماری همه‌گیری ویروس کرونا» و «جدیدترین خبر پیرامون واکسن ویروس کرونا» بوده است.

از دیگر بدافزارهایی که با استفاده از موضوعات مرتبط با کووید-۱۹ پخش شده‌اند می‌توانیم به Lokibot, Agent Tesla, Formbook, Remcos و Nanocore اشاره کنیم. البته در برخی مواد از تاکتیک‌های فیشینگ هم برای انتشار بدافزار اندرویدی Anubis استفاده شده است.

پارسال به «آژانس دارویی اروپا» (EMA) حمله شد و بخشی از اطلاعات محرمانه و ایمیل‌های داخلی آن به سرقت رفت و قسمتی از داده‌های این سازمان دستکاری شد تا فرآیند توسعه واکسن دچار مشکل شود. حالا هکرها خود را به جای وزارت بهداشت انگلیس جا زده‌اند و از مردم دعوت کرده‌اند تا برای دریافت واکسن ثبت نام و وقت رزرو کنند.

در این ایمیل از کاربر خواسته شده تا دعوت‌نامه تزریق واکسن را تایید کند. ولی چه کاربر روی دکمه تایید کلیک بکند یا نه، ایمیل تغییر مسیر می‌دهد و فرد را به صفحه دیگری منتقل می‌کند. در آن صفحه فرمی قرار گرفته که اطلاعاتی مثل نام و نام خانوادگی، تاریخ تولد، آدرس و شماره تلفن را دریافت می‌کند.

سیستم کلاهبرداری مشابهی در مکزیک نیز مشاهده شده که خود را به جای آزمایشگاه معتبری در این کشور جا می‌زند و برای تزریق واکسن از کاربران اطلاعات می‌گیرد.

از سیستم‌های پیامکی هم برای حمله به کاربران استفاده شده است. هکرها با پیامک‌هایی برای ثبت نام تزریق واکسن، واریز کمک هزینه‌های دوران کرونا، زمان‌بندی ملاقات پزشک و ارسال مکمل‌های دارویی در مبارزه با ویروس کرونا دست به خرابکاری زده‌اند. گزارش ترند مایکرو می‌گوید ۷۵ هزار دامنه مخرب در زمینه ویروس کرونا ثبت شده ولی تمرکز این حرکت از ویروس کرونا به سمت واکسن در حال تغییر است. در بسیاری از این دامنه‌ها از نام‌هایی شبیه به برندهای معروف سازنده واکسن مثل بیون‌تک و اسپوتنیک استفاده شده است.

افزون بر این، مجرمان سایبری در فضای وب تاریک و وب عمیق نیز دست به کار شده‌اند و به فروش واکسن‌های غیرقانونی یا جعلی می‌پردازند. گزارش ترند مایکرو می‌گوید:

«ماهیت مخفی و ناشناس وب تاریک این مکان را به فضایی ایده‌آل برای فروش واکسن‌های غیرقانونی توسط مجرمان سایبری تبدیل کرده است. اخیرا در گزارشی به یک وب‌سایت اشاره شد که گردانندگان آن مدعی تولید واکسنی بودند که نه تنها برای فروش آماده بود بلکه می‌توانست به سراسر جهان ارسال شود. سایت دیگری در دارک‌نت از خریداران خواسته بود اطلاعات خصوصی و حتی وضعیت ابتلای خود به ویروس کرونا و سایر بیماری‌هایشان را به ایمیل آن‌ها بفرستند. خریداران باید این اطلاعات را با رسید پرداخت بیت‌کوینی ارسال می‌کردند.»

اینترپل پارسال در اطلاعیه‌ای هشدار داد که گروهی از مجرمان سازمان‌یافته مشغول تبلیغ، فروش و توزیع واکسن‌های جعلی هستند.