تستمر إيران في تنفيذ هجمات تصيد مستهدفة ضد الأفراد في الخارج، رغم تصاعد الاحتجاجات المحلية. هذه المقالة تستعرض الأساليب المستخدمة في هذه الهجمات.
مع تصاعد الاحتجاجات في الداخل، يقوم المهاجمون الإيرانيون بتنفيذ هجمات تصيد مستهدفة ضد أعدائهم المفترضين في الخارج.
تاريخ الحكومة الإيرانية مليء باستهداف أعدائها، سواء كانوا محليين أو أجانب، إيرانيين أو أجانب، إسرائيليين أو أمريكيين أو عرب. في الأسابيع الأخيرة، ومع تصاعد الاحتجاجات ضد النظام الحاكم، زادت التقارير عن التجسس السيبراني.
في 13 يناير، كشف الناشط الإيراني المقيم في المملكة المتحدة، ناريمان غريب، عن حملة تصيد مستهدفة للغاية تستهدف الأفراد في الخارج الذين لهم صلة بالشؤون الإيرانية. وعزا ذلك إلى الحرس الثوري الإيراني، وتم إغلاق موقع التصيد الداعم لها بسرعة. ومع ذلك، استمر التجسس، مع وجود مغريات جديدة تستهدف أهدافًا جديدة.
بشكل عام، يبدو أن النشاط مركز ولكنه منتشر، مع وجود العشرات من الهجمات الموثقة ضد أهداف إيرانية وسورية وكردية ولبنانية وإسرائيلية وأمريكية على الأقل.
الموجة الأولى: روابط WhatsApp الخبيثة
في منتصف يناير، تلقى غريب سلسلة من الرسائل عبر WhatsApp كانت غامضة بما يكفي لتبدو وكأنها شيء تجاري نسيه. وبصفته شخصًا ذو خبرة في تلقي هجمات التصيد، طلب من المرسل أن يتصل به. بدلاً من الاتصال، بالطبع، حثه المرسل على اتباع الرابط.
كان الرابط مستضافًا بواسطة مزود DNS ديناميكي يسمى DuckDNS. يسمح DNS الديناميكي للمهاجمين بإخفاء عناوين IP المتغيرة باستمرار خلف روابط تصيد بسيطة. في هذه الحالة، صمم المهاجمون عنوان URL قد يبدو، إذا نظرت إليه عن كثب، كأنه رابط WhatsApp شرعي. لكن النطاق الفعلي خلفه كان مختلفًا تمامًا: “alex-fabow.online”. لم تتمكن TechCrunch، التي عملت مع غريب لتحليل الحملة، من معرفة ما يحدث بالضبط في متصفح الضحية بعد النقر على الرابط، مشيرة إلى أنه “قد يكون أن رابط DuckDNS يعيد توجيه الهدف إلى صفحة تصيد معينة بناءً على المعلومات التي يحصل عليها من جهاز المستخدم”.
إذا اتبع الضحية الصحيح الرابط، فقد يرون صفحة تسجيل دخول Gmail مزيفة، أو صفحة تطلب رقم هاتفهم. لحسن الحظ، اكتشفت TechCrunch ثغرة في المسار سمحت لهم برؤية قاعدة بيانات المهاجمين بالكامل من بيانات الاعتماد المسروقة. وجدوا 850 سجلًا تحتوي على أسماء المستخدمين وكلمات المرور ورموز المصادقة الثنائية.
قاد رابط غريب إلى صفحة ذات طابع WhatsApp تحتوي على رمز QR. كان مسح رمز QR سيمنح المهاجمين السيطرة على حسابه. بالإضافة إلى ذلك، كانت صفحة التصيد ستقوم بتفعيل إشعارات المتصفح التي تطلب الوصول إلى موقعه الجغرافي وكاميرته وميكروفونه. ثم كانت ستبدأ في بث موقعه الجغرافي للمهاجم، وتسجيل الصوت من جهازه باستمرار، والتقاط الصور باستخدام الكاميرا كل خمس ثوانٍ.
الموجة الثانية
وفقًا لغريب، استخدم المهاجمون من الحرس الثوري الإيراني أيضًا مجموعة متنوعة من أساليب التصيد الأخرى في الأسابيع الأخيرة. في بعض الحالات، استخدموا روبوت Telegram مزيف لإرسال تهديدات للضحايا بأن حساباتهم ستُحذف إذا لم يتخذوا إجراءات فورية. تمت إزالة الحساب بسرعة بعد اكتشافه.
بجانب WhatsApp وGmail وTelegram، قام المهاجمون أيضًا باستهداف الضحايا على X. أنشأوا حسابًا يتظاهر بأنه الناشطة البحرينية فاطمة الحربي، واشتروا علامة زرقاء رخيصة لإضفاء الشرعية عليه. ثم بدأوا في التواصل مع الأهداف، غالبًا من خلال الرد على منشوراتهم على X. باستخدام صيغة رسالة قياسية، مع تفاصيل محددة عن الهدف، تواصلوا لطلب مقابلات قصيرة. وفرت المقابلات غطاءً لإرسال دعوات مزيفة عبر Google Meet، مما مكن من سرقة بيانات الاعتماد. تم حذف الحساب المزيف على X منذ ذلك الحين.
وفقًا لغريب، تضمنت أهداف الهجمات الأخيرة صحفيًا إيرانيًا ومثقفًا عامًا، وأربعة شخصيات معارضة سورية، ودبلوماسيين إسرائيليين، وعضوًا في الكنيست، الهيئة التشريعية الإسرائيلية. هذا الأسبوع، أضافت صحيفة جيروزاليم بوست صحفيًا أمريكيًا إسرائيليًا بارزًا إلى القائمة المتزايدة.
على الرغم من أن الأهداف بارزة والهجمات عدوانية، “تعتمد هذه الحملة بشكل كبير على الهندسة الاجتماعية، والتقنية المستخدمة تبدو أقل تقدمًا من التقنيات التي تم ملاحظتها سابقًا”، كما يقول تومر بار من SafeBreach، الذي يتتبع هجمات التهديد المستمر المتقدمة الإيرانية ضد المعارضين. “أفترض أن هذه مجموعة تهديدات وطنية إيرانية أقل تعقيدًا”، ونظرًا لتنوع الأساليب والتقنيات والإجراءات المعروضة، قد يكون هناك أكثر من مجموعة واحدة.
مع تزايد التهديدات السيبرانية، يصبح من الضروري أن يكون الأفراد في حالة تأهب وأن يتخذوا خطوات لحماية بياناتهم الشخصية. تابعونا لمزيد من المعلومات حول الأمن السيبراني.
