دزدی که در قالب دوست می‌آید: بررسی یک ایمیل آلوده

آرش کمانگیر

اندازه حروف

۲۰/شهريور/۱۳۹۳ گیک آباد

ایمیلی، درظاهر از طرف بی‌بی‌سی فارسی، به بعضی از فعالین اجتماعی فرستاده شده است که در آن درباره‌ی «ویروس‌های سکتور بوت» هشدار داده می‌شود.

ایمیلی، درظاهر از طرف بی‌بی‌سی فارسی، به بعضی از فعالین اجتماعی فرستاده شده است که در آن درباره‌ی «ویروس‌های سکتور بوت» هشدار داده می‌شود. ایمیل بعد از توضیحاتی درباره‌ی این ویروس‌ها، ادعا می‌کند «در حال حاضر هیچ کدام از آنتی ویروس‌ها در مقابل این ویروس مقاوم نیستند». سپس ایمیل اضافه می‌کند: «با انتشار ویروس و آلوده شدن سایت‌های سیاسی برنامه نویسان ما برای حل این مشکل ضد این ویروس را نوشته و فقط برای افراد و سایت‌های خاص ارسال کرده‌اند.» نویسنده‌ی ایمیل سپس به گیرنده توصیه می‌کند که «قبل از هک شدن سایت و حساب‌های بانکی خود» این هشدار را جدی بگیرد و فایلی از این آدرس دانلود کند https://www.britishislesshoppe.com/mail/Anti-Vir.rar (این فایل آلوده است. آن را دانلود نکنید). آخرین جمله در متن ایمیل این است «لطفا در زمان دانلود به https بودن لینک دانلود دقت کنید.»

این ایمیل تمام مراحل مهندسی اجتماعی را با دقت دنبال می‌کند. اول، درباره‌ی خطر هشدار می‌دهد. ویروس‌های سکتور بوت خطری حقیقی هستند، و حتی توضیح ایمیل درباره‌ی جزییات آن‌ها هم درست است. آن‌چه در ایمیل ساختگی است این ادعا است که «در حال حاضر هیچ کدام از آنتی ویروس‌ها در مقابل این ویروس مقاوم نیستند». هر نرم‌افزار ضدویروس  مناسبی حتما قبل از بوت شدن سیستم، سکتور بوت را وارسی می‌کند و حتی سیستم‌های عامل مدرن دربرابر دستکاری در سکتور بوت مقاوم هستند. و همین‌جاست که عناصر مهندسی اجتماعی کنار هم می‌نشینند: اشاره به وجود خطر و ادعای نادرست درباره‌ی شدت آن.

از این‌جا به بعد روایت ایمیل نادقیق است و از شاخه‌ای به شاخه می‌پرد. با این‌که روایت از سکتور بوت آغاز کرده است، که خاصیتی در یک کامپیوتر شخصی است، ادعا می‌شود که «سایت‌های سیاسی» آلوده شده‌اند. و در همین‌جا، نویسنده‌ی ایمیل چماق را کنار می‌گذارد و هویج را نشان می‌دهد: «این ایمیل راه‌حلی برای این خطر  بسیار مهم دارد که توسط برنامه‌نویسان ما تهیه شده است و فقط برای افراد و سایت‌های خاص فرستاده شده است.» دو قدم بعدی صرفا برای اطمینان از به‌دام افتادن قربانی هستند: اول هشدار درباره‌ی «هک شدن سایت و حساب های بانکی خود» و دوم اصرار روی این‌که لینک در زمان دانلود با https شروع شود. بررسی ساده‌ای نشان می‌دهد که چنین ضرورتی وجود ندارد و قربانی صرفا لازم است فایل آلوده را روی سیستم‌اش باز کند. در چنین صورتی، یک نرم‌افزار dropper روی سیستم نصب می‌شود که وظیفه‌اش نصب بار اصلی، که احتمالا یک keylogger است، روی سیستم خواهد بود.

با کمی دقت می‌توان تار و پود این ایمیل را کنار زد و سوالات مهمی پرسید. اول، حتی با فرض حقیقی بودن خطر، بی‌بی‌سی فارسی یک رسانه است و «برنامه‌نویس» ندارد و، مهم‌تر از آن، نرم‌افزار ضدویروس منتشر نمی‌کند. از آن مهم‌تر، کافی است ایمیلی به نشانی منبع بفرستیم و از آن‌ها پرس‌وجو کنیم. اتفاق جالب توجه این است که درصورت اقدام به چنین کاری با پیغام خطای گوگل مواجه می‌شویم که چنین نشانی ایمیلی اساسا وجود ندارد.

اما از این تجربه چه یاد می‌گیریم؟

اول: به فایلی که به نام ضد ویروس یا نظایر آن از هر نهادی، جز شرکت‌های شناخته‌شده‌ی تولیدکننده نرم‌افزارهای ضد ویروس، برای شما فرستاده شده است اعتماد نکنید و آن را روی سیستم خود اجرا نکنید. این دستورالعمل شامل هرکسی که لینکی به یک فایل اجرایی توییت می‌کند نیز می‌شود.

دوم: اگر فایلی مشکوک از طریق ایمیل برای شما فرستاده شد، به فرستنده‌ی آن ایمیل بزنید و از او درباره‌ی جزییات سوال کنید.

سوم: موارد مشکوک را در شبکه‌های اجتماعی اعلام کنید یا برای ما و دیگر گروه‌هایی که خطرات در فضای مجازی را بررسی می‌کنند بفرستید.

تک‌نویس: این بررسی کامل‌تر خواهد شد.