تداخل آدرس IP در کلاهبرداری ایمیلی حساب شما شناسایی شد

محققان امنیتی یک کمپین فیشینگ مکرر را شناسایی کرده‌اند که به گیرندگان در مورد «تضاد IP» در حساب ایمیلشان هشدار می‌دهد. این پیام‌ها وانمود می‌کنند که اطلاعیه‌های امنیتی فوری هستند و ادعا می‌کنند که حساب کاربری محدود یا بسته خواهد شد، مگر اینکه کاربر فوراً آن را تأیید کند. در واقع، این ایمیل‌ها یک تله مهندسی اجتماعی هستند: تنها هدف آنها جمع‌آوری اطلاعات ورود به سیستم و در برخی موارد، انتشار بدافزار است. این پیام‌ها توسط هیچ شرکت، ارائه‌دهنده خدمات یا سازمان قانونی ارسال نمی‌شوند.

آنچه پیام‌ها ادعا می‌کنند

این ایمیل‌ها معمولاً ادعا می‌کنند که چندین آدرس IP یا اتصال در صندوق پستی هدف شناسایی شده‌اند و برای محافظت از سرویس و سایر کاربران، ارائه‌دهنده دسترسی را محدود می‌کند مگر اینکه مالک حساب را تأیید کند. یک دکمه فراخوان بزرگ و واضح (مثلاً «حساب خود را تأیید کنید») برای ترغیب کلیک سریع گنجانده شده است. زبان، قالب‌بندی و طراحی بصری می‌تواند قانع‌کننده به نظر برسد - برخی از کمپین‌ها با دقت طراحی شده‌اند تا از اعلان‌های واقعی ارائه‌دهنده تقلید کنند - بنابراین گیرندگانی که بدون تأیید منبع اقدام می‌کنند، به راحتی می‌توانند به دام بیفتند.

فیشینگ چگونه کار می‌کند؟

کلیک بر روی دکمه تأیید، قربانی را به یک صفحه ورود جعلی هدایت می‌کند که شبیه یک فرم ورود به سیستم ایمیل واقعی است. هر نام کاربری و رمز عبوری که در آن صفحه وارد شود توسط مهاجم ضبط و به او تحویل داده می‌شود. پس از سرقت اعتبارنامه‌ها، مهاجمان می‌توانند وارد حساب کاربری شوند و از آن به روش‌های مخرب زیادی استفاده کنند: استخراج اطلاعات خصوصی، تنظیم مجدد رمز عبور برای سایر سرویس‌ها، جعل هویت کاربر برای کلاهبرداری از مخاطبین یا ارسال فیشینگ/بدافزار بیشتر به دفترچه آدرس قربانی.

داده‌های هدفمند معمولاً شامل موارد زیر است:

• اطلاعات ورود به حساب کاربری و رمز عبور.
• اطلاعات شخصی قابل شناسایی (نام، تاریخ تولد، اطلاعات تماس).
• مدارک مالی و جزئیات تراکنش.
• هرگونه داده ذخیره شده یا قابل دسترسی از طریق صندوق پستی هک شده (فاکتورها، ایمیل‌های تنظیم مجدد حساب، لینک به حساب‌های دیگر).

خطرات و سناریوهای سوءاستفاده

یک حساب ایمیل هک شده، دروازه‌ای به سوی آسیب‌های گسترده‌تر است. مهاجمان می‌توانند اسناد و ارتباطات شخصی را که حساب‌های بانکی، خرید یا رسانه‌های اجتماعی را فاش می‌کنند، جمع‌آوری کنند. آن‌ها ممکن است از یک حساب جعلی برای درخواست وام یا کمک‌های مالی از دوستان، انجام کلاهبرداری‌های دیگر، توزیع بدافزار یا انجام خریدهای کلاهبرداری در جایی که جزئیات پرداخت ذخیره شده در دسترس است، استفاده کنند. سرویس‌های مرتبط با امور مالی هک شده می‌توانند مستقیماً به تراکنش‌های غیرمجاز و ضرر مالی منجر شوند. سرقت هویت و آسیب به حریم خصوصی در درازمدت، از پیامدهای رایج چنین نقض‌هایی هستند.

بردارهایی برای Malspam

این کمپین‌ها محدود به سرقت اطلاعات کاربری نیستند - برخی از ایمیل‌ها حاوی پیوست‌های مخرب یا لینک‌هایی هستند که بدافزار (malspam) را منتقل می‌کنند. تهدیدات در انواع مختلفی از فایل‌ها از راه می‌رسند: برنامه‌های اجرایی، بایگانی‌های فشرده (ZIP/RAR)، اسناد آفیس (که اغلب به ماکروها متکی هستند)، PDFها، فایل‌های جاوا اسکریپت یا فایل‌های مخرب جاسازی‌شده در فایل‌های یادداشت. در برخی موارد، صرفاً باز کردن یک فایل برای شروع آلودگی کافی است. در برخی دیگر، کاربر باید ماکروها را فعال کند یا روی لینک‌های جاسازی‌شده کلیک کند تا دراپر فعال شود.

چگونه یک تقلبی را تشخیص دهیم

• فوریت غیرمنتظره یا تهدید به تعلیق فوری.
• خوشامدگویی‌های کلیشه‌ای و آدرس‌های فرستنده‌ی متناقض یا عجیب.
• لینک‌هایی که به دامنه‌های ناآشنا یا آدرس‌های اینترنتی (URL) که با ارائه‌دهنده‌ی مورد نظر مطابقت ندارند، منتهی می‌شوند.
• درخواست برای ورود مجدد اطلاعات از طریق لینک ایمیل به جای وب‌سایت یا اپلیکیشن رسمی.
• نام تجاری نامناسب، پیوست‌های غیرمعمول یا درخواست‌هایی برای فعال کردن ماکروها یا دانلود فایل‌ها.

نکات پایانی

این هشدارهای «تضاد آی‌پی» کلاهبرداری‌های مهندسی اجتماعی هستند که از ترس و فوریت سوءاستفاده می‌کنند. از آنجا که مهاجمان به طور فزاینده‌ای جعلیات قانع‌کننده و خوش‌فرم تولید می‌کنند، هرگونه اطلاعیه امنیتی ناخواسته را تا زمانی که از طریق کانال‌های رسمی تأیید نشده باشد، مشکوک فرض کنید. از لینک‌های ایمیل برای ورود به سیستم یا ارائه اطلاعات حساس استفاده نکنید. در عوض، مستقیماً به وب‌سایت اصلی مراجعه کنید، MFA را فعال کنید و هرگونه فعالیت مشکوک را فوراً گزارش دهید.