هکرها اخیراً با استفاده از تماس تلفنی، سعی کردهاند تا رایانهها را ویروسی کنند.
به گزارش گرداب، محققان در حال تحقیق دربارهی کمپین بدافزار جدید به نام BazarCall هستند. یکی از مهمترین بدافزارهای آن، تروجانِ (Trojan) BazarLoader برای دسترسی از راه دور است که باعث میشود هکرها بتوانند به رایانهی شما دسترسی پیدا کرده و بدافزارهای بیشتری را نصب کنند.
این حمله با ارسال یک ایمیل درمورد پایان اشتراک آزمایشی سرویس پزشکی رایگان که گویا قبلاً برای آن ثبت نام کردهاید، شروع میشود و به شما خبر میدهد که در چند روز آینده از کارت اعتباری شما پولی به مقدار ۹۰$ یا بیشتر برداشت خواهد شد. بر اساس گزارش The Record and Bleeping Computer، عنوان ایمیل چیزی شبیه به با تشکر از شما به خاطر استفاده از دورهی آزمایشی رایگان یا آیا مایلید دورهی رایگان خود را تمدید کنید؟ و ... است. یک محقق امنیتی که خود را نابودگر بدافزار مینامد، لیستی از عنوانهای ایمیل احتمالیای را که BazarCall استفاده میکند، پست کرده است.
مسلماً از دیدن این ایمیل تعجب خواهید کرد و حاضر نخواهید بود تا برای چیزی که هرگز با آن موافقت نکردهاید، پولی پرداخت کنید. در متن این ایمیل، شماره شناسهی اشتراک و شماره تلفنی نوشته شده که میتوانید برای لغو اشتراک با آن شماره تلفن تماس بگیرید و شماره شناسهی اشتراک خود را به فرد پشت تلفن اعلام کنید.
آیا این یک ایمیل فیشینگ محسوب می شود؟
در ایمیلهای فیشینگ، لینکی وجود دارد که از شما میخواهد روی آن کلیک کنید و بعداً شما را وارد سایتی میکند که رمزعبورتان یا اجازهی نصب برنامهای را در رایانهی شما درخواست میکند.
اما در این نوع ایمیلها هیچ لینکی وجود ندارد و فقط شماره تلفنی برای تماس نوشته شده است. وقتی با این شماره تماس میگیرید بعد از کمی منتظر ماندن پشت خط تلفن، شخصی به شما جواب میدهد که هرگز شک نمیکنید که آن فرد یکی از اعضای تیم پشتیبانی فناوری نیست! و او به سوالات شما دربارهی ایمیلی که دریافت کردهاید، پاسخ میدهد.
از شما شماره شناسه اشتراکی را که در متن ایمیل نوشته شده است، درخواست میکند. نکتهی اصلی اینجاست که کلاهبرداران با استفاده از شماره شناسهی اشتراک، تشخیص میدهند که شما چه کسی هستید و بیشتر مواقع افرادی را که جزو کارکنان شرکتهای خاصی هستند، هدف قرار میدهند.
متاسفیم، لطفاً این فرم را پر کنید...
فردی که با آن تماس گرفتهاید شماره شناسهی اشتراک شما را بررسی میکند و به شما میگوید که شخصی غیر از شما برای خرید این اشتراک ثبتنام کرده است، پس حتماً اشتباهی رخ داده است.
این پشتیبان مشتری که دوستانه با شما برخورد میکند، به شما میگوید که، چون این اشتراک مربوط به خدمات پزشکی میشود باید برخی از فرمها را به صورت آنلاین پر کنید تا اشتراک لغو شود. او شما را به یک وبسایتی که حرفهای طراحی شده، منتقل میکند تا روند لغو اشتراک را ادامه دهید.
حداقل پنج وبسایت تقلبی احتمالی وجود دارد. وبسایتهایی که ما بررسی کردیم، همه شبیه به هم بودند، اما یک نفر تلاش زیادی کرده است تا این سایتها خوب و حرفهای به نظر برسند. این وبسایتها بخشهای FAQs (سوالات متداول)، بیانیههای مربوط به حریم خصوصی، نحوهی استفاده و حتی اطلاعات تماس مانند آدرس دفتر در لس آنجلس و شماره تلفنهای تماس در جنوب کالیفرنیا را نیز دارند.
ما با چند شماره تلفن ثبت شده تماس گرفتیم، اما جوابی دریافت نکردیم. همچنین متوجه شدیم که هر پنج سایتی که قبلاً بررسی کرده بودیم، در هفتهی گذشته توسط یک آدرس ایمیل روسی و با همان یک اسم مستعار مدیریت شدهاند....، اما اول باید آن را دانلود کنید
در هنگام تماس با پشتیبانی، او از شما میخواهد تا وارد صفحهای در سایت شوید و روی گزینهی لغو اشتراک کلیک کنید. اما در قسمت لغو اشتراک از شما نام یا آدرس ایمیلی درخواست نمیشود و به جای آن مجدداً شماره شناسهی اشتراکتان را میخواهد. وقتی گزینهی ثبت را میزنید، مروگر شما میخواهد که فایل اکسل یا وردی را دانلود کنید. پشتیبان نیز به شما میگوید که برای لغو اشتراک باید این سند را دانلود کرده، باز کنید و امضا بزنید.
این فایلهای دانلود شده آنقدر خطرناک هستند که سندباکسِ ویندوز اجازه نمیدهد تا بدون رضایت شما این فایلها روی دستگاه اجرا شوند. اما پشتیبان پشت تلفن اصرار میکند تا روی نوار زردی که در بالای فایل اکسل یا ورد ظاهر میشود کلیک کنید تا ماکروها فعال شوند و بتوانید سند را امضا کنید.
حالا دستگاه شما ویروسی میشود
به محض فعال کردن ماکروها، فایل ورد یا اکسلی که دانلود کردهاید، یک dropper را روی دستگاه شما نصب میکند. Dropper نوعی بدافزار است که به اینترنت متصل شده و بدافزارهای بیشتری را دانلود و نصب میکند. در این حالت، این بدافزار ممکن است BazarLoader باشد که پیشتر به آن اشاره کردیم یا حتی بدتر از آن، یک TrickBot باشد. به محض فعال شدن یکی از این بدافزارها روی دستگاه شما، کلاهبرداران میتوانند نرمافزار botnet، استخراج کنندهی سکه و یا حتی باجافزار را روی دستگاه شما نصب کنند.
اگر دستگاه شما بخشی از شبکهی شرکت باشد، بدافزار به سرعت روی تمام دستگاههای شرکت نصب میشود. اما شما از این موضوع آگاه نیستید. شما فقط میدانید که در حال پر کردن یک فرم برای لغو اشتراک ناخواسته و گران قیمت هستید. پس از اتمام کار، اپراتور مرکز تماس با خوشحالی به شما میگوید که با موفقیت اشتراک شما لغو شده است و روز خوبی را برای شما آرزو میکند.
چگونه میتوانید جلوی این کلاهبرداری را بگیرید؟ اول مطمئن شوید که بهترین نرمافزار ضدویروس را روی دستگاه خود نصب کردهاید. دوم، از دانلود هرگونه فایل آفیس و فعال کردن ماکروها خودداری کنید.