خانه » فیشینگ کارزار جهانی Smishing Triad با بهره‌گیری از ۱۹۴ هزار دامنه مخرب
اخبار

فیشینگ کارزار جهانی Smishing Triad با بهره‌گیری از ۱۹۴ هزار دامنه مخرب

3 هفته قبل
98 بازدیدها
3 دقیقه (زمان مطالعه)
SMISHING TRIAD

تیم‌های تحلیل تهدید از جمله Unit 42 و Group-IB از فعالیت گسترده‌ی گروه سازمان‌یافته‌ای با نام Smishing Triad خبر داده‌اند که با ثبت حدود ۱۹۴ هزار دامنه مخرب و استفاده از زیرساخت‌های ابری قانونی، حملات فیشینگ پیامکی (Smishing) را در مقیاسی بی‌سابقه اجرا می‌کند. این عملیات نشانگر ترکیب مهندسی اجتماعی و خودکارسازی در چرخه‌ی فیشینگ مدرن است.

پژوهش‌های اخیر واحد تهدید شرکت Palo Alto Networks (Unit 42) و هم‌زمان گزارش‌های Group-IB Threat Intelligence، از شکل‌گیری شبکه‌ای پیچیده با نام Smishing Triad پرده برداشته‌اند. این گروه با بهره‌گیری از نزدیک به ۱۹۴٬۰۰۰ دامنه فعال و غیرفعال، به‌صورت هماهنگ کاربران را از طریق پیامک‌های فریبنده به صفحات فیشینگ هدایت می‌کند.

الگوی اصلی حمله به این صورت است که پیامکی با مضمون «مشکل در تحویل بسته»، «پرداخت عوارض معوق» یا «خطای بانکی» برای قربانی ارسال می‌شود. لینک داخل پیامک معمولاً به دامنه‌ای با ظاهر کاملاً مشابه وب‌سایت رسمی سرویس هدایت می‌شود (مثلاً post-delivery-check[.]com یا gov-tollpay[.]net). در مرحله‌ی دوم، اسکریپت‌های جاوااسکریپت در سمت کلاینت داده‌های حساس قربانی (کارت بانکی، شماره ملی، کد OTP) را ضبط کرده و از طریق APIهای رمزگذاری‌شده به سرورهای فرمان و کنترل (C2) منتقل می‌کنند.

بررسی DNS و IP WHOIS نشان می‌دهد که حدود ۶۵٪ از دامنه‌ها روی سرویس‌های ابری شناخته‌شده نظیر AWS، Cloudflare Pages و Google Cloud مستقر هستند. عمر متوسط هر دامنه کمتر از ۶ روز است و بسیاری از آن‌ها با الگوی ثبت خودکار (bulk registration) ایجاد می‌شوند. این ساختار موقتی سبب می‌شود فهرست‌های سیاه سنتی کارایی خود را از دست بدهند.

تحلیل کد منبع صفحات فیشینگ منتشرشده در مخازن GitHub Leaks نشان می‌دهد که Smishing Triad از یک فریم‌ورک اختصاصی فیشینگ-کیت با ماژول‌هایی برای کنترل نشست، ثبت قربانی و مدیریت real-time OTP استفاده می‌کند. این فریم‌ورک مشابه ساختار بات‌نت عمل کرده و با استفاده از WebSocket Tunnels داده‌ها را به صورت هم‌زمان به اپراتورهای انسانی ارسال می‌کند.

به‌گفته‌ی محققان Unit 42، این شبکه نه‌تنها حملات را خود اجرا می‌کند بلکه پلتفرمی مشابه «Phishing-as-a-Service» در دارک‌وب راه‌اندازی کرده و به سایر گروه‌های مجرم سرویس می‌دهد. این مدل باعث افزایش بهره‌وری، خودکارسازی و گسترش جهانی حملات شده است.

توصیه‌های امنیتی برای مدیران سیستم و کاربران لینوکسی

  • مانیتورینگ دامنه‌های جدید مشابه برند سازمان از طریق Threat Intel Feeds (مثل VirusTotal, URLHaus, AbuseIPDB).
  • فعال‌سازی DMARC و SPF برای کاهش جعل دامنه در پیامک‌های سازمانی.
  • استفاده از ابزارهای Open-Source INTEL برای اسکن دامنه‌های مشکوک در DNS و TLS Fingerprinting.
  • آموزش کاربران نهایی درباره‌ی تشخیص پیامک جعلی و بررسی دامنه‌ی واقعی لینک قبل از ورود اطلاعات.
  • گزارش سریع دامنه‌های آلوده به سرویس‌دهندگان رجیستری یا CERT ملی.

مهدی منصوری

برچسب ها

درباره نویسنده

مشاهده همه مطالب

مهدی منصوری

افزودن نظر

برای ارسال نظر کلیک کنید