هزاران پیام کلاهبرداری اس ام اس را روشن می کند

محققان حجم بی‌سابقه‌ای از داده‌ها را در مورد کلاهبرداری‌های فیشینگ پیام‌های متنی جمع‌آوری و تجزیه و تحلیل کرده‌اند که دامنه و ماهیت عملیات فیشینگ پیامکی را روشن می‌کند.

این کار همچنین تکنیک‌هایی را توصیف می‌کند که می‌توان از آنها برای جمع‌آوری داده‌های اضافی در مورد فعالیت‌های فیشینگ استفاده کرد و فرصت‌هایی را که مقامات مجری قانون می‌توانند برای مبارزه با حملات فیشینگ استفاده کنند، شناسایی می‌کند.

این فیشینگ پیامکی است. اینها حملاتی هستند که در آن کلاهبرداران سعی می کنند با جعل هویت یک شخص مورد اعتماد مانند یک بانک یا سازمان دولتی، از پیام های متنی برای فریب افراد برای افشای اطلاعات خصوصی مانند شماره کارت اعتباری یا رمز عبور استفاده کنند.

الکس ناهاپتیان، نویسنده اصلی مقاله در مورد این مطالعه و دانشجوی دکترا در دانشگاه ایالتی کارولینای شمالی، گفت: «در سال 2023، بر اساس داده‌های گروه کاری ضد فیشینگ، حملات فیشینگ در سراسر جهان بیش از هر زمان دیگری بود.

ناهاپتیان می‌گوید: «این حملات بر امنیت و حریم خصوصی آنلاین مشتریان تأثیر می‌گذارد و می‌تواند بسیار پرهزینه باشد، اما ما اطلاعات بسیار کمی در مورد آنها داریم. این به این دلیل است که شرکت‌های مخابراتی نگران حریم خصوصی مشتریان خود هستند و در بررسی داده‌های خصوصی ارسال شده در پیام‌های متنی تردید دارند.

برای دور زدن این محدودیت، محققان از دروازه‌های پیامک استفاده کردند، وب‌سایت‌های آنلاینی که به کاربران اجازه می‌دهند شماره تلفن‌های یکبار مصرف را به دست آورند. محققان از دروازه‌های SMS برای به دست آوردن تعداد زیادی شماره تلفن یکبار مصرف استفاده کردند. از آنجایی که فیشینگ پیامکی بسیار رایج شده است، آنها می توانند به سادگی منتظر بمانند تا این شماره تلفن های یکبار مصرف در معرض حملات فیشینگ قرار گیرند.

با استفاده از این تکنیک، محققان 2011 شماره تلفن را زیر نظر گرفتند و 67991 پیام فیشینگ را در طول 396 روز شناسایی کردند.

با استفاده از تجزیه و تحلیل متن، محققان دریافتند که این پیام های فیشینگ را می توان به 35128 کمپین جداگانه تقسیم کرد – به این معنی که آنها از محتوای تقریباً یکسان استفاده می کردند. تجزیه و تحلیل بیشتر نشان داد که این کمپین ها به 600 عملیات مختلف فیشینگ پیامکی مرتبط هستند.

ناهاپتیان می‌گوید: «برای مثال، اگر کمپین‌های متعددی را دیدیم که باعث می‌شد هدف‌ها روی یک URL کلیک کنند، آن کمپین‌ها بخشی از همان عملیات بودند. “به طور مشابه، ما توانستیم تشخیص دهیم که یک کمپین واحد که از چندین URL استفاده می کند بخشی از یک عملیات است.”

برخی از نتایج شگفت آور بود. به عنوان مثال، محققان دریافتند که فیشرهای پیامکی از سرورهای رایج، برنامه های کوتاه کننده URL و زیرساخت وب برای پشتیبانی از عملیات خود استفاده می کنند.

ناهاپتیان می گوید: «بیشتر مردم جرایم سایبری را با زیرساخت های مخفی مرتبط می دانند. اما این کلاهبرداری های فیشینگ با استفاده از زیرساخت های مشابه سایر موارد اجرا می شوند.

محققان همچنین دریافتند که برخی از فیشرها نیز دامنه های خود را راه اندازی می کنند که از آنها برای میزبانی کوتاه کننده های URL خود استفاده می کنند.

ناهاپتیان می‌گوید: «این احتمال را افزایش می‌دهد که سرویس‌های کوتاه‌کننده URL خصوصی محافظت بیشتری از فیشرها ارائه می‌کنند یا این که سرویسی است که به عنوان بخشی از اکوسیستم فیشینگ به فیشر فروخته می‌شود. “این منطقه ای برای تحقیقات آینده است.”

محققان همچنین مکانیسم های دفاعی خدمات مخابراتی را با ارسال پیام های فیشینگ (بی ضرر) خود به 10 شماره تلفن آزمایش کردند. آنها این کار را مستقیماً از یک تلفن شخصی و دوباره از طریق یک سرویس پیام انبوه انجام دادند. همه پیام های فیشینگ با موفقیت تحویل شدند. با این حال، سرویس پیام انبوه سپس حساب این محقق را مسدود کرد.

محققان همچنین به دنبال سرویس‌های پیام‌رسانی انبوهی بودند که فیشرها بتوانند مکرراً از آنها استفاده کنند – و آنها را پیدا کردند. سرویس‌هایی که حملات فیشینگ را فعال می‌کردند در گوشه‌های تاریک اینترنت پنهان نشدند، بلکه آشکارا در پلتفرم‌های رسانه‌های اجتماعی عمومی مانند لینکدین تبلیغ می‌کردند.

ناهاپتیان می گوید: «به طور کلی، نتایج دو چیز را نشان می دهد. «اول، ما قبلاً می‌دانستیم که اقتصاد فیشینگ ایمیلی وجود دارد، و این کار روشن می‌کند که این امر در مورد فیشینگ پیامکی نیز صدق می‌کند. کسی می تواند وارد شود و کل عملیات را از جعبه بخرد – کد، URL، پیام های انبوه، همه چیز. و اگر سایت آنها بسته شود یا سرویس پیام رسانی آنها مسدود شود، اهمیتی نمی دهند – آنها فقط به سایت بعدی می روند.

دوم، ما متوجه شدیم که پیام‌های بسیاری از عملیات فیشینگ حاوی یادداشت‌هایی برای خودشان هستند. به عنوان مثال، یک متن می تواند با کلمات “مسیر 7” یا “مسیر 9” یا هر چیز دیگری پایان یابد. این نشان می‌دهد که فیشرها از دروازه‌های پیامک برای آزمایش مسیرهای مختلف برای تحویل پیام فیشینگ استفاده می‌کنند تا تعیین کنند کدام مسیرها به احتمال زیاد پیام خود را از طریق آن‌ها عبور می‌دهند.

حداقل در چهار مورد، محققان این “پیام های آزمایشی” – از جمله URL مورد استفاده توسط فیشرها – را قبل از اینکه فیشرها به طور کامل زیرساخت وب خود را در URL مستقر کنند، شناسایی کردند.

ناهاپتیان گفت: «این به ما نشان می‌دهد که پیام‌ها قبل از شروع حملات فیشینگ به طور جدی ارسال شده است. “این مهم است زیرا نشان می دهد که با نظارت بر دروازه های پیام کوتاه، ممکن است بتوانیم برخی از URL های فیشینگ را قبل از اینکه حملات آنها در مقیاس گسترده انجام شود شناسایی کنیم. این کار شناسایی و مسدود کردن این کمپین‌های فیشینگ را قبل از به اشتراک گذاشتن اطلاعات خصوصی کاربران آسان‌تر می‌کند.»

محققان مقاله خود را در سمپوزیوم IEEE در مورد امنیت و حریم خصوصی در سانفرانسیسکو، کالیفرنیا ارائه کردند.

نویسندگان دیگر روی این مقاله از NC State و PayPal آمده اند.

این تحقیق توسط بنیاد ملی علوم، مشارکت کارولینای شمالی برای تعالی امنیت سایبری، دفتر تحقیقات نیروی دریایی، بودجه جایزه دفاع اینترنتی 2020 و پی پال پشتیبانی شد.

منبع: ایالت NC