گزارشی از نحوه هک شدنم توسط هکرهای حکومتی

اخیراً جیمیل و برخی حساب های شبکه های اجتماعی من توسط هکرهای ایرانی مورد حمله قرار گرفت و به کلی از دسترس من خارج شد. هرچند موارد سرقت شده به سرعت بازپس گرفته شد، اما دانستن روش و چگونگی این دست حمله‌های سایبری برای مخاطبان مفید و لازم است.

این حمله از نوع فیشینگ یا مهندسی اجتماعی و در نوع خود جدید و منحصر به فرد بود. به این شکل که ساعت سه صبح، از طریق بخش پیامهای تویتر، پیامی دریافت کردم از یک دوست و همکار، مبنی بر مطالعه و ارزشیابی مطلبی که قرار بود در روزهای آتی منتشر شود. این حساب کاربری توئیتر واقعا به این دوست تعلق داشت و پیام ارسالی دقیقا در باره موضوعی بود که ما پیشتر در باره آن صحبت کرده بودیم. یعنی هکرها پیش از طراحی حمله به من، این دوست را هک  کرده و نه تنها کنترل حساب توئیترر او را در اختیار داشتند، بلکه بر ارتباطات و مکالمه های او هم تسلط داشته و از جزئیات قرار کاری ما نیز آگاه بودند. آنها حتی می دانستند که ما برای تبادل فایل های کاری از گوگل درایو استفاده می کنیم. از این رو لینک هک خود را در صفحه ای طراحی شده مشابه گوگل درایو، در Google Sites قرار داده و آن را از طریق توئیتر و با پیامی به زبان فارسی، در ساعتی که مطمئن بودند که من به دلیل خواب آلودگی توجه کافی به ماهیت لینک ندارم ارسال کردند.

نیمه شب، با دیدن هشدار گوشی همراه مبنتی بر دریافت پیام از سوی دوست مذکور، بیدار شدم و لینک ارسالی را از طریق کامپیوتر باز کردم. در این صفحه یک فایل برای دانلود قرار داشت. کلیک روی این فایل من را به صفحه ای منتقل کرد که نشان میداد مرورگر کامپیوتر نام کاربری و رمز عبور من را برای دسترسی به گوگل درایو حفظ کرده و با توجه به فعال بودن رمز تایید دو مرحله ای جیمیل، از من خواست که رمز شده به گوشی همراهم را در بخش مورد نظر وارد کنم. چند ثانیه بعد، کد امننیتی به موبایل من ارسال شد و من آن را وارد کردم،‌ اما بجای ورود به گوگل درایو، به صفحه اصلی ورودی جمیل برگشتم.

در این مرحله متوجه شدم که موضوع غیرعادی و به احتمال زیاد یک حمله سایبری است. کمتر از ۳۰ ثانیه بعد از طریق ایمیل پشتیبان متوجه شدم که هکرها شماره تلفن، رمز عبور و اطلاعات دیگر جیمیلم را تغییر داده و در پی آن، در حال دسترسی به دیگر ایمیل ها و حساب های کاربری من، نظیر لینکدین و اینستاگرام هستند.

من بلافاصله به برسی لینک هکرها پرداختم و هم زمان با گوگل و دیگر حسابهای کاربری تماس گرفتم و آنها را مسدود کردم. هکرها بی درنگ صفحه فیشینگ ارسالی به من را از دسترس خارج کردند. اما من از طریق کوکی ها و همچنین ردپاهای بجا مانده، آدرس اصلی و آپی لینک ها و باقی اطلاعات مرتبط را پیدا کردم.

هکرها با استفاده از کد اچ تی ام ال، جاوا و سی اس اس که در یک فایل اچ تی ام ال ایندکس قرار داده شده بود، قربانی را از گوگل درایو به آدرسی منتقل می کردند که از یک سایت کوتاه کننده لینک روسی گرفته شده و دومین اصلی حاوی صفحه فیشینگ متصل شده بود. از طریق اطلاعات موجود در این لینک، اسکن سرور و پلتفورم مورد استفاده هکرها تلاش کردم از سرور آن دسترسی بگیرم و در نهایت به صفحه مدیریت هکرها وارد شدم.

صفحه فیشینگ مذکور توسط اسکریپتی ساخته شده بود که با استفاده از یک پلتفورم و یا قالب مدیریت اچ تی ام ال فعال میشد. که خود د سال ۲۰۱۷ از دمو آنلاین آن با نرم افزار HTTrack Website Copier ریپ شده بود. این اسکریپت قادر بود برای دو سرویس ارائه ایمیل یاهو و گوگل، صفحات فیشینگ اختصاصی تولید کند. من موفق شدم اسکریپت سازنده فیشینگ را از این سرور هکرها دانلود کنم.

این  پلتفورم حاوی اسکریپت مذکور، روی سرور آپاچی نسخه ۲.۴.۳۵ ، پروتکل اس اس ال و پی اچ پی نسخه ۷.۲.۱۱ نصب شده بود. ساختار حالت پیشفرض بخش مدیریت پلتفورم تغییر یافته و برای  استفاده در اسکریپت تولید کننده صفحات فیشینگ  شخصی سازی شده بود.  

این اسکریپت به هکرها  امکان میداد که تنها با وارد کردن ایمیل قربانی در صفحه ساز این اسکریپت، صفحه ای اختصاصی برای ایمیل یاهو یا گوگل قربانی ایجاد کنند. صفحه ای که می توانست رمز عبور مرحله دوم ایمیل قربانی را دریافت و در بخش مدیریت اسکریپت برای هکرها نمایش دهد.

اساس تمام این صفحه های هک مبنتی بر مهندسی اجتماعی و فریب قربانی است. این برنامه با فراخوانی برخی فایل ها از سایت اصلی گوگل و همچنین برخی اطلاعات  حساب جیمیل کاربران، صفحه ای مشابه صفحات گوگل را خلق کرده و از قربانی رمز مرحله دوم حساب کاربری او را درخواست می کرد. اسکریپت به شکلی نوشته شده بود که در صورت باز شدن این صفحات و یا درج کد رمز توسط قربانی، از طریق ارسال ایمیل هکرها را آگاه کرده  وآنها نیز بلا فاصله و پیش از واکنش قربانی خود وارد ایمیل آنها شده و مشخصات آنها را تغییر میدادند. از اینجا می توانید یکی از صفحات ایجاد شده توسط این اسکریپت را ببینید. 

در بخش مدیریت این اسکریپت هکرها قادر بودند که ضمن رصد رفتار قربانی، به اطلاعاتی نظیر آی پی، مشخصات سیستم عامل و نوع مرورگر دسترسی داشته و ضمن تعیین استراتژی برای حملات بعدی، از همین بخش حمله فیشینگ را متوقف کرده و یا شرایط آن را تغییر دهند.

در مورد هک جیمیل من نیز آنها با مشاهده پیام بازگشایی صفحه فیشینگ در بخش مدیریت اسکریپت، بلافاصله شماره تلفن من را که پیشتر به دست آورده بودند به گوگل اعلام کردند تا من آن کد امنیتی مرحله دوم را روی تلفنم دریافت کنم. و بلافاصله بعد از درج آن در صفحه فیشینگ، هکرها آن را دریافت کرده و تقاضای تغییر رمز عبور را به سرور گوگل ارسال و با تغییر رمز بر جیمیل من مسلط شدند. همچنین بعید نیست که آنها رمز عبور ایمیل را پیشتر به شیوه ای دیگر سرقت کرده و یا هم زمان از حافظه مرورگر استخراج کرده باشند.

در بین ایمیل های موجود در لیست حمله هکرها، ایمیل برخی روزنامه نگاران داخل و خارج کشور و حتی ایمیل اساتید دانشگاه‌های آمریکا و افراد غیر ایرانی فعال در رسانه ها و حتی دولت آمریکا نیز وجود داشت که برخی ازآنها هک شده بودند  و برخی دیگر نیز کماکان مغلوب حمله سایبری نشده بودند. هکرها برخلاف هکرهای معولی نه به دنبال مشخصات بانکی قربانیان، بلکه به دنبال اطلاعات دامنه وسیعی از افراد بودند که این خود نشانگر وابستگی آنها به نهاد های امنیتی و دولتی است.

هکرها از وی پی ان برای ناشناس ماندن بهره می بردند، اما برسی موارد سهل انگاری آنها نشان می داد که  آنها از چند  مرکز در منطقه پاسداران وخیابان جمهوری در تهران اقدام به این حمله ها کرده اند.

اطلاعات تکمیلی و جزيیات دیگر از هویت هکرها توسط دو تیم امنیتی در آمریکا و اروپا مورد برسی قرار گرفته و داده های به دست آمده در اختیار پلیس آمریکا قرار گرفته است. همچنین به قربانیان و افراد هدف در لیست هکرها اطلاع رسانی شده و نسبت به شیوه مقابله با هکرها آموزش لازم داده شد.

حملات فیشینگ نسبت به سابق پیچیده تر شده و هکرها با بالا رفتن ضریب امنیتی، خود را نیز به روز رسانی و پیچیده تر می کنند. به عنوان نمونه در این مورد هکرها بر یک پروژه  کاری مسلط شده و از دوست و همکار من به عنوان واسطه در مهندسی اجتماعی بهره برده اند. این یعنی بعید نیست کسان دیگری هم بدون اینکه خود بدانند، قربانی هکرها هستند و شاید از آنها نیز عنوان واسط در فریب اهداف استفاده شود.  به هر شکل، آنچه که باعث موفقیت حمله های سایبری می شود، تنها و تنها خطای انسانی است. بنا براین دقت، مراقبت و به روز رسانی خود نسبت به فناوری های موجود، بیش از هر نرم‌افزار امنیتی دیگری می تواند افراد را در مقابل حمله ها بیمه کند.