امنیت

پشت‌پرده‌ی دزدی اطلاعات کارت‌های بانکی

در روزهای اخیر خبرهای مختلفی از دزدی اطلاعات کارت‌های بانکی ایرانی‌ها منتشر شد و محمد جرجندی نیز در توییتر، تصاویر کانال تلگرامی دزد اطلاعات رو منتشر کرد. با توجه به تعداد دامنه‌های تقلبی و تعداد زیاد اکانت‌هایی که دزد اطلاعات برای اثبات حرفش منتشر کرده بود، به نظر می‌رسه که این دزدی بسیار گسترده بوده. در ادامه این دزدی اطلاعات کارت‌های بانکی رو بررسی می‌کنم.

صفحه فیشینگ

ادعای دزدی اطلاعات کارت‌های بانکی

طبق شناختی که این مدت پیدا کردم، خیلی از هکرهای ایرانی سخته براشون که شناخته نشوند حتی اگر پول زیادی به دست آورده باشند و به قول خودشون موفق باشند. دزد این سری هم یک کانال تلگرام با اسم مستعار Mr. X راه انداخته و اونجا از پول‌های زیادی که داره، تصاویر مسافرت‌ها و حتی رابطه‌های جنسیش رو منتشر می‌کرد. در یک محدوده زمانی، حتی بخشی از اطلاعات دزدیده شده از مردم رو هم عمومی منتشر کرد که ثابت کنه کار خودش بوده.

پول

تصویری از پول‌های دزد که به یورو است، در محیط داخلی احتمالا قطار و اون نوشته‌های روی کاغذ سفید رنگ به زبان آلمانی، این شک رو ایجاد کرد که علیرغم ادعای دزد که پاسپورت اسراییلی داره و عکس پرچم اسراییل رو گذاشته، ایشون در آلمان زندگی می‌کنه. اون تغییر ناگهانی آواتار به پرچم اسراییل و اشاره به پاسپورت، احتمالا برای رد گم کردن بوده.

در یکی از تصاویر کانال، فردی که از مردم دزدی کرده، چندین عکس از یک خرس عروسکی رو منتشر کرده. به تصویر زیر دقت کنید.

ایستگاه قطار

اون علامت E در تصویر و شرایط دیگه محیط، نشون می‌ده که عکس در یک ایستگاه قطار گرفته شده. بخشی از اسم ایستگاه RLSRUH در تصویر دیده می‌شه. با استفاده از نقشه گوگل، این ایستگاه قطار پیدا شد که در شهر کارلسروهه در آلمانه و شک قبلی رو تایید کرد.

ایستگاه قطار کارلسروهه

رد پای دزد

در کانال تلگرامی گفته شده، دو تا لینک گذاشته شده بود برای راهنمایی دیگران به دزدی‌های بیشتر، در اختیار گذاشتن کدهای لازم برای راحت کردن دزدی توسط افراد متفرقه و یک اپلیکیشن برای کنترل حساب‌های بانکی دزدیده شده.

لینک به اپلیکیشن اندرویدی در گوگل پلی، نشون می‌ده که توسعه‌دهنده از ایمیل shotojoo@gmail.com استفاده کرده برای ساخت اکانت. همچنین لینک به اکانت گیت‌هاب برای انتشار فایل‌های آماده فیشینگ، نشون می‌ده که اکانت به اسم MR. X اما با آدرس shotojoo ساخته. مجموعه شواهد نشون می‌ده که اسم مستعار shotojoo همون آقای X است.

گیت‌هاب

 لازم به ذکره که بررسی فایل‌های آماده فیشینگ بانک سامان و اکانت‌های اینستاگرام که آقای X منتشر کرده، کدگزاری شده که محتواش معلوم نباشه اما من موفق شدم کدها رو بشکنم. این کدهای رایگان برای هک دیگران، به گونه‌ای نوشته شده که هروقت هرکسی با استفاده از این فایل‌ها اکانت کسی رو هک کرد، یک نسخه از اطلاعات اکانت یا کارت بانکی هک شده برای آقای x ارسال می‌شه.

شوتوجو کیست؟

از این مرحله و با در اختیار داشتن اسم مستعار دوم آقای x، جستجوهای گسترده‌ای رو شروع کردم که منجر شد به شناسایی چندین سایت، اکانت توییتر، اکانت یوتوب و موارد دیگه. شوتوجو پیش از این با همین اسم یک دامنه ir خریده بود و با اسم مستعار «پرهام شوتوجو» اپلیکیشن صیغه‌یاب منتشر کرده بود. این سایت اکنون در دسترس نیست.

صیغه‌یاب

به نظر می‌رسه همونطور که آقای x در کانالش راهنمایی کرده بود، اپلیکیشن صیغه‌یاب یک بدافزار بوده برای فریب کاربرانی که دنبال روابط جنسی رفته‌اند. برخی هکرها از این پوشش استفاده می‌کنند که پس از دزدی، مال باخته از ترس آبرو اقدام به شکایت نکنه.

صیغه‌یاب

از نکته‌های عجیبی که در اکانت‌های مختلف آقای شوتوجو دیدم، انتشار چندین عکس از یک پسر بچه به نام «شروین سرابی» است که خانواده‌اش مدعی شده‌اند نابغه است. بعد به این مورد اشاره می‌کنم.

اکانت vk

در جستجوها متوجه شدم که شوتوجو با اسامی مستعار دیگه‌ای در اینترنت فعالیت کرده از جمله «ناجی پرهام» و «ناجی بلک». در یکی از اکانت‌ها، «ناجی پرهام» گفته بود که ساکن کرجه. به تکرار کلمه «ناجی» دقت کنید.

شناسایی

بررسی‌ها من نشون می‌ده که آقای X یا آقای شوتوجو که ده‌ها سایت فیشینگ ساخته و از کارت‌های بانکی تعداد بسیار زیادی از مردم دزدی کرده، آقای «پرهام مرادزاده سراب» است. بر اساس اطلاعات جمع‌آوری شده، آقای پرهام مرادزاده سراب پس از خروج از ایران، مدتی در ترکیه بوده و کار دزدی رو ادامه داده و سپس با خانواده به آلمان رفته. ایشون چندماه پیش هم اکانت اینستاگرام مهدی قائدی، بازیکن تیم استقلال، رو هک کرد که منجر به شناساییش شد. بعد از اون هک، در مصاحبه‌ای ادعا کرد هکر کس دیگه بوده و اکانت رو بهش داده و گفت که دیگه تکرار نمی‌کنه هک کردن رو.

پرهام مرادزاده سراب

پس از هک اکانت اینستاگرام مهدی قائدی، اکانت هکر به اسم «ناجی تیم» تبلیغ شده بود. پیش از این به تکرار کلمه «ناجی» در اسامی مستعار ایشون اشاره کرده بودم.

مصاحبه با ایشون پس از لو رفتن هویتش در پی هک اکانت بازیکن استقلال:

اکانت فیسبوک پرهام مرادزاده سراب، نشون می‌ده که ایشون رابطه فامیلی با «شروین سرابی» داره و اون انتشار عکس‌ها توسط اکانت‌ها با اسم مستعار شوتوجو، بی‌دلیل نبوده.

در کدهای نوشته شده ایشون برای دزدی، که عمومی منتشر کرده تا با واسطه کارهای دزدهای دیگه بتونه آدم‌های بیشتری رو هک کنه، قربانی‌ها به یک کانال تلگرام به اسم «صیغه‌ یاب» منتقل می‌شن. در کانال «صیغه یاب» چندین اپلیکیشن اندرویدی منتشر شده که همگی تقلبی بوده و برای فیشینگ ساخته شده‌اند.

صیغه‌یاب

نام و نام خانوادگی: پرهام مرادزاده سراب

ساکن آلمان

شماره تلفن پیش از خروج از ایران: ۰۹۳۵۴۲۵۱۷۵۷

آدرس ایمیل: shotojoo@gmail.com و parham.moradzadeh@yahoo.com

اکانت توییتر: pshotojoo و parhammoradzade

اکانت فیسبوک: parham.moradzadeh.sarab

اکانت در سایت vk (مشابه فیسبوک در روسیه): id388194461

اکانت در سایت فلیکر: ۱۴۵۷۰۳۰۶۱@N07

اکانت گیت‌هاب: shotojoo

کانال یوتوب: UCBpNINiOudE5qGQzx_aJpeg

استاندارد
امنیت

فیشینگ از طریق سایت‌های ایرانی

حدود سه هفته پیش در بررسی دوره‌ای سایت‌های ایرانی، چندین مورد فیشینگ پیدا کردم. در ادامه در مورد یکی از این فیشینگ‌ها می‌نویسم.

کشف فیشینگ

در بررسی‌ها متوجه شدم در بخشی از سایت ایزوایکو (مجتمع کشتی سازی و صنایع فرا ساحل ایران)، صفحه فیشینگ برای سرویس دراپ‌باکس وجود داره و برای قربانی‌ها ارسال شده.

صفحه فیشینگ

قربانی‌ها در صورت فریب خوردن و کلیک روی سرویس‌دهنده ایمیل برای لاگین، با صفحه دیگری مطابق زیر روبه‌رو می‌شدند. در اینجا من روی gmail کلیک کردم.

صفحه فیشینگ جیمیل

در اولین قدم به مدیران سایت خبر دادم تا مشکل رو برطرف کنند. هرچند پاسخی به ایمیل داده نشد، اما خوشبختانه الان صفحه فیشینگ از روی سایت حذف شده.

ایمیل اطلاع‌رسانی

بررسی سایت

نسخه وردپرس سایت به‌روز نبود (و همچنان هم به‌روز نشده متاسفانه) و می‌شه حدس زد با استفاده از نقص‌های شناخته شده امنیتی در نسخه‌های قدیمی وردپرس، به سایت نفوذ شده و مورد سواستفاده برای پخش فیشینگ قرار گرفته.

صفحه اول سایت نشانه‌هایی از تزریق کدهای ناخواسته جاوا اسکریپت داشت که حدس هک شدن سایت رو تایید می‌کنه.

جاوا اسکریپت

این کد چک می‌کنه که اگر بازدید کننده‌ها از طریق جستجو در یک موتور جستجو (مثل گوگل) به سایت وارد شده‌اند، اونها رو به سایت یک کازینو در هنگ‌کنگ منتقل می‌کنه. از این طریق، کاربران معمولی سایت و مدیران، دیرتر متوجه مشکل در سایتشون می‌شن.

ip

این کد جاوا اسکریپت هم از سایت حذف شده.

بررسی کد فیشینگ

در ادامه چک کردن سایت برای پیدا کردن سرنخی از نقطه ورود هکرها و یا شیوه کارشون در ارسال فیشینگ و ذخیره اطلاعات، موفق شدم که کدهای آپلود شده در سایت رو به دست بیارم. در دایرکتوری‌های مجموعه آپلود شده، فایل‌های robots.txt و htaccess گذاشته بودند برای جلوگیری از پیدا شدن صفحه‌های فیشینگ توسط موتورهای جستجو و سرویس‌های بررسی اتوماتیک.

جلوگیری از کشف فیشینگ

از بخش‌های مختلف کد که مربوط به شبیه‌سازی صفحه و نمایش فرم بود که بگذریم، می‌رسیم به جایی که هکر اطلاعات فرد فریب خورده رو دریافت می‌کنه. برای این هدف، اطلاعات مکانی قربانی، در کنار نام کاربری و پسوردش برای هکر ایمیل می‌شه.

ایمیل اطلاعات دزدیده شده

در کدهای بالا می‌بینید که ایمیل هکر connie.morgan009090 است. ردی از این ایمیل پیدا نکردم و به نظر می‌رسه تا الان تونسته خودش رو از چشم سرویس‌های کشف فیشینگ دور نگه‌داره.

پیشگیری و کشف به موقع

یکی از روش‌های پر استفاده هکرها برای نفوذ به سایت‌ها برای ارسال فیشینگ و حمله‌های با واسطه، استفاده از ضعف‌های امنیتی شناخته شده و عمومی است. وردپرس به خاطر گستردگی استفاده، یکی از اهداف همیشگی این هکرهاست. توصیه همیشگی به‌روز کردن هسته وردپرس و وپلاگین‌ها، تکراری اما مهمه.

نصب پلاگین‌های امنیتی در وردپرس (مثلا iThemes Security) می‌تونه کمک زیادی بکنه در افزایش امنیت سایت‌های وردپرسی با چک کردن و تغییر تنظیمات پیش‌فرض.

اگر مدیریت سرور هم با خودتونه، می‌تونید از ابزارهای رایگان و مفیدی مثل maldet برای کشف بدافزارها استفاده بکنید. ابزارهایی مثل maldet در بازهای زمانی تعیین شده، فایل‌های جدید روی سرور رو چک کرده و با مقایسه با بدافزارهای شناخته شده، اطلاع رسانی و پاک‌سازی می‌کنه.

یکی دیگه از روش‌ها استفاده از سرویس‌های آنلاینی مثل mxtoolbox است که روزانه سایت شما و ip مربوطه رو با لیست‌های سرویس‌های کشف فیشینگ و بدافزار، چک می‌کنند و در صورتی که سایتتون توسط یکی از این سرویس‌ها کشف شده باشه، بهتون اطلاع می‌ده.

استاندارد
امنیت،برنامه‌نویسی

اسکریپت ارسال ایمیل تقلبی

یک از زبان های برنامه نویسی مورد علاقه من PHP است که خب توی بحث تست نفوذ و امنیت مجازی هم خیلی کمکم می کنه. زمانی که از حمله های فیشینگ می خوندم تصمیم گرفتم چک کنم و ببینم که چطور می شه یک ایمیل فیشینگ فرستاد. این شد که در نهایت به این اسکریپت ارسال ایمیل تقلبی رسیدم.

نسخه اولیه اش رو می تونید در لینک زیر ببینید:

این نسخه کار آمد نبود و به راحتی به عنوان اسپم و یا فیشینگ شناخته می شد. بنابرای سعی کردم در مورد روش های تشخیص ایمیل های اسپم و فیشینگ مطالعه کنم و راهی برای فرار از اون روش ها در اسکریپت خودم بگنجونم.

تغییر دادن اسم فرستنده، تغییر دادن ایمیل فرستنده و جلوگیری از درج آدرس سرور در مشخصات فرستنده، گنجوندن مسیر ریپلای انتخابی و کلی مورد کوچیک دیگه.

Fake Email

در کنار تغییرات تکنیکال، سعی کردم چهره مناسبی هم به فرم بدم. استایل استفاده شده هم یه نمونه رایگان در اینترنت بود که با کمی تغییرات برای این فرم مناسب شد.

از آدرس زیر می تونید به مخزن گیتهاب این پروژه دسترسی داشته باشید.

اسکریپت رو با مجوز Creative Commons نسخه ۳ منتشر می کنم پس کپی کردن، تغییر و حتی  فروشش آزاده به شرطی که محدودیت های مجوز رو رعایت کنید.

این اسکریپت فقط جنبه آموزشی داره و من از اون علیه کسی استفاده نکردم و امیدوارم شما هم با هدف مثبت از اون استفاده کنید.

به روز رسانی: پس از کامنت مرتضی که در یک سرور، ایمیل ارسال نمی شد و پس از چک کردن موضوع متوجه شدم مشکلی در فانکشن mail در PHP وجود نداره. مشکل از ارسال متن ایمیل در Header بود. متن ایمیل رو به روش base64 رمز می کردم و به ایمیل اتچ می کردم که گویا این سرور نمی پذیرفت این مورد رو. بنابراین اسکریپت رو تغییر دادم که متن به صورت ساده ارسال بشه. می تونید از مخزن گیتهاب، نسخه جدید رو دریافت کنید.

استاندارد