Via BBC Persian Service /
Security researcher, Amin Sabeti [ Twitter: @AminSabeti ]
In past few weeks, different reports came out regarding hacking of Gmail accounts of Iranians inside the country. Sometimes even the two factor authentication method of Gmail were discussed. But maybe the most important reasons for these speculations in’t enough information about these attacks in the first place.
What is the story behind the recent attacks?
The recent attacks probably is one of the most sophisticated attacks ever happened. In these attacks, hackers with great deal of information about their target persons tried to hack their gmails accounts and in some cases they were successful, too.
This is obvious that this attacks are systematic and very well planned. Unlike traditional bulk attacks, the hackers tried to brake very systemically into different accounts of certain targets, including their gmail account.
Structure of recent attacks
Structure of these recent attacks is a mixture of Phishing and social engineering. After braking into the target’s email, they have sent emails with very precise literature the victim would use, including some personal details of the victim to their network of their close friends and colleagues in an attempt to hack their email accounts as well.
Lets review one of the used tactics: The hackers created a fake website, like human rights activist news or woman’s rights news, which they knew the victim will be attracted to. Then they would introduce the website from hacked account, as if the email account owner himself / herself would right with the same literature, and send them to other victims in the contact lists and asked them to click on the link and visit their new website and become a member.
Now, when the other parties would visit the website, they would see a page that let them login with their Facebook / Google / Yahoo or WindowsLive ID. Now, the attacker would receive their user and password to their email account. At the same time, the phishing website would send a real request to google to send the 2 factor authentication code to the victim’s phone. once the code is also entered to the phishing website, attackers would immediately login to their account and disable the 2 authentication factor login. Using the same method, the attackers managed to gain access to several email accounts.
When this attacks has been reviewed, it came to light that the hackers once gained access to the victim’s account, initiated correspondence with his / her close friends, using the same literature and language of the victim and also deleting the messages from SENT folder afterwards, and using the same method to hack other accounts.
One thing needs to be mentioned is that the victims of this system received the 2nd authentication code from Google by SMS, not the Google authenticator. From this mechanics it came to light that 2nd factor generated by google authenticator can not be used for a second time, but codes received via SMS can be used for multiple logins.
Considering the above, paying attention to 3 points can – almost – mitigate these types of attacks :
- Google APP will never ask for a second factor authentication response: if you wanted to login to a 3rd party website with your google account, you should know google will never ask for a response and if you saw such a request you should know this is a phishing website.
- Never open a website by a link in an email: Either search for the website in google or type the address manually. using this, you may avoid a large portion of phishing attacks.
- Don’t use your main email address for 3rd party website memberships: for subscribing to newsletters and 3rd party memberships use a dedicated email address which you made for this purpose. This way, if your email is hacked, the attacker accessed a useless account and not your main email account.
Generally you should know there is no silver bullet in digital security and you can’t be 100% sure about your security. But you can make sure you to pay attention to digital security aspects as much as possible.
منبع: بی بی سی فارسی – امین ثابتی، پژوهشگر امنیت دیجیتال [ توییتر]
در هفته های اخیر اخبار مختلفی در مورد هک شدن ای میل و دیگر حساب های کاربری ایرانیان منتشر شده است. در برخی موارد سخن از ناکارآمدی راههای موجود برای حفظ امنیت ایمیل مانند ورود دومرحلهای جیمیل به میان آمد. اما شاید یکی از مهمترین دلایل اینگونه حدس و گمانها روشن نبودن شیوه حملات سایبری اخیر بوده است.
داستان حملات سایبری اخیر چیست؟
حملات سایبریای اخیر را میتوان یکی از پیچیدهترین و با برنامه ترین اقداماتی دانست که تاکنون اجرا شده است. در این سری حملات افراد خرابکار با دستی پر و داشتن اطلاعات کامل از قربانیان خود سعی در نفوذ به حساب ایمیل آنها کردهاند که در برخی موارد نیز موفق بودهاند.براساس آنچه که هم اکنون مشخص شده است، حملات صورت گرفته به صورت کاملا دقیق و برنامهریزی شده انجام شده است و برخلاف گذشته که هکر یا هکرها به صورت فلهای سعی در هک کردن حسابهای مختلف میکردند، در این مورد فرد یا افراد خرابکار با برنامهای مشخص و مدون سعی کردهاند که به حسابهای مختلف قربانیان خود مانند جیمیل نفوذ پیدا کنند.
ساختار حملات سایبری اخیر
حملات سایبری اخیر مخلوطی از فیشینگ (Phishing) و مهندسی اجتماعی بوده است به گونهای که هکر یا هکرها پس از نفوذ به حساب ایمیل فرد قربانی، با ادبیات وی و با جزییاتی دقیق به دوستان صمیمی وی ایمیل ارسال میکرده تا آنها را نیز قربانی حملات خود کند.
برای درک بهتر پیچیدگی این حملات بد نیست یک نمونه از آن را بررسی کنیم.در یکی از حملاتی که تا حدودی موفق بوده است، هکر در اولین قدم وبسایتی جعلی مانند وبسایتی با موضوع اخبار فعالان حقوق بشر یا حقوق زنان که فرد قربانی به آن علاقهمند بوده را ایجاد کرده است، سپس با ارسال یک ایمیل که ساختار و ادبیات آن شبیه ادبیات و نگارش صاحب وبسایت واقعی است، از فرد قربانی درخواست کرده است که به بخش جدید وبسایتشان سر بزند و در آن عضو شود.
از اینجا به بعد داستان نفوذ به حساب فرد قربانی توسط هکرهایی همچون ارتش سایبری آغاز میشود به این صورت که وقتی فرد قربانی وارد وبسایت جعلی میشود، از وی درخواست میشود که برای عضویت در بخش جدید وبسایت از طریق یکی از حسابهای خود (شامل فیسبوک، گوگل، یاهو و ویندوز لایو) حسابی در وبسایت جعلی اما با ظاهر واقعی باز کند.زمانی که فرد قربانی بر روی یکی از این گزینهها کلیک میکند، به صفحه جعلیای ورود به حساب فیسبوک، گوگل، یاهو و ویندوز لایو فرستاده میشود. فرد قربانی بدون آنکه متوجه شود، مشخصات ورود به حسابش را که شامل نام کاربردی و رمز عبور است وارد میکند و به این صورت هکرهایی همچون ارتش سایبری ایران مرحله اول دسترسی به حساب وی را به دست میآورد.نکتهای که در اینجا نباید فراموش شود آن است که هنگامی که فرد قربانی بر روی دکمه Sign In (وارد شدن) صفحه جعلی ورود به جیمیل کلیک میکند، یک درخواست ورود به وبسایت واقعی جیمیل نیز ارسال میشود که در نتیجه گوگل کد ورود دو مرحلهای را به تلفن همراه فرد قربانی ارسال میکند.در اینجا مرحله دوم نفوذ به حساب قربانی آغاز میشود که در آن صفحه جعلی ورود دو مرحلهای به وی نشان داده میشود و کاربر بدون آنکه متوجه جعلی بودن آن شود، کد ورود دو مرحلهای را وارد میکند که در حقیقت این کد را برای هکر یا هکرهایی همچون ارتش سایبری ایران وارد میکند.زمانی که هکر این دو مورد (رمز عبور و کد ورود دو مرحلهای) را بدست میآورد، به سرعت وارد جیمیل میشود و ورود دو مرحلهای حساب وی را غیرفعال میکند. و به این صورت موفق میشود که در چندین مورد حساب چند کاربر را هک و به حساب آنها نفوذ کند.
بر اساس بررسیهایی صورت گرفته، مشخص شده که مثلا ارتش سایبری ایران پس از آنکه وارد حساب قربانی میشود، با ادبیات و سبک نگارش فرد قربانی شروع به ارسال ایمیل به دوستان صمیمی وی میکند و در عین حال آنها را از بخش Sent Mail پاک میکنند تا به این صورت دامنه قربانیان خود را زیاد و زیادتر کند.نکته مهم آن است که کاربرانی قربانی این حمله شدهاند که کدهای ورود دو مرحلهای را از طریق پیامک (SMS) دریافت کردهاند نه اپلیکیشن Google Authenticator. از همین رو این نکته روشن شده است که امکان استفاده چند باره از کدهایی که از طریق پیامک دریافت میشود، وجود دارد در حالی که این امکان در حالتی که کد از طریق Google Authenticator ایجاد شود، ممکن نیست.
با توجه به آنچه در بالا بیان شد، سه نتیجه مهم را میتوان از این سری حملات گرفت که تا حدود زیادی میتوانند جلوی تکرار اینگونه حملات را بگیرند:
۱- گوگل اپ (Google App) به هیچ وجه از شما کد ورود دو مرحلهای را نمیخواهد: اگر شما زمانی خواستید از طریق حساب گوگل خود حسابی در یک وبسایت باز کنید، باید بدانید که گوگل به هیچ عنوان و تحت هیچ شرایطی از شما کد ورود دو مرحلهای را درخواست نمیکند و اگر زمانی این پیام را دیدید، بدانید که صفحه جعلی است.
۲- هیچ وقت از طریق لینک داخل ایمیل وارد وبسایتی نشوید: تحت هیچ شرایطی و به هیچ عنوان از طریق لینکهایی که در متن ایمیل نوشته شده است وارد وبسایتی نشوید و به جای کلیک کردن بر روی لینک، نام وبسایت را در گوگل جستجو کنید و یا آنکه آن را به صورت دستی در نوار آدرس وارد کنید. با این کار تا حدود بسیار زیادی از حملات فیشینگ جلوگیری خواهید کرد.
۳- برای عضویت در وبسایتهای مختلف از ایمیل اصلی خود استفاده نکنید: برای عضویت در خبرنامهها و وبسایتهای مختلف از ایمیل اصلی خود استفاده نکنید و به جای آن از یک ایمیل دیگر که مخصوص این کار ایجاد کردهاید استفاده کنید. با این کار در صورتی که ایمیل شما به هر دلیل هک شود، فرد نفوذگر تنها با یک سری ایمیل خبرنامه مواجه خواهد شد و امکان لو رفتن ایمیلهای حساس و مهم از بین میرود.
در نهایت باید بر روی این نکته تاکید شود که امنیت در دنیای دیجیتال نسبی است و هیچ گاه نمیتوان به امنیت ۱۰۰ درصد و کامل رسید، تنها کاری که باید انجام داد آن است که نکات امنیت دیجیتال را رعایت کرد.