امنیت

پشت‌پرده‌ی دزدی اطلاعات کارت‌های بانکی

در روزهای اخیر خبرهای مختلفی از دزدی اطلاعات کارت‌های بانکی ایرانی‌ها منتشر شد و محمد جرجندی نیز در توییتر، تصاویر کانال تلگرامی دزد اطلاعات رو منتشر کرد. با توجه به تعداد دامنه‌های تقلبی و تعداد زیاد اکانت‌هایی که دزد اطلاعات برای اثبات حرفش منتشر کرده بود، به نظر می‌رسه که این دزدی بسیار گسترده بوده. در ادامه این دزدی اطلاعات کارت‌های بانکی رو بررسی می‌کنم.

صفحه فیشینگ

ادعای دزدی اطلاعات کارت‌های بانکی

طبق شناختی که این مدت پیدا کردم، خیلی از هکرهای ایرانی سخته براشون که شناخته نشوند حتی اگر پول زیادی به دست آورده باشند و به قول خودشون موفق باشند. دزد این سری هم یک کانال تلگرام با اسم مستعار Mr. X راه انداخته و اونجا از پول‌های زیادی که داره، تصاویر مسافرت‌ها و حتی رابطه‌های جنسیش رو منتشر می‌کرد. در یک محدوده زمانی، حتی بخشی از اطلاعات دزدیده شده از مردم رو هم عمومی منتشر کرد که ثابت کنه کار خودش بوده.

پول

تصویری از پول‌های دزد که به یورو است، در محیط داخلی احتمالا قطار و اون نوشته‌های روی کاغذ سفید رنگ به زبان آلمانی، این شک رو ایجاد کرد که علیرغم ادعای دزد که پاسپورت اسراییلی داره و عکس پرچم اسراییل رو گذاشته، ایشون در آلمان زندگی می‌کنه. اون تغییر ناگهانی آواتار به پرچم اسراییل و اشاره به پاسپورت، احتمالا برای رد گم کردن بوده.

در یکی از تصاویر کانال، فردی که از مردم دزدی کرده، چندین عکس از یک خرس عروسکی رو منتشر کرده. به تصویر زیر دقت کنید.

ایستگاه قطار

اون علامت E در تصویر و شرایط دیگه محیط، نشون می‌ده که عکس در یک ایستگاه قطار گرفته شده. بخشی از اسم ایستگاه RLSRUH در تصویر دیده می‌شه. با استفاده از نقشه گوگل، این ایستگاه قطار پیدا شد که در شهر کارلسروهه در آلمانه و شک قبلی رو تایید کرد.

ایستگاه قطار کارلسروهه

رد پای دزد

در کانال تلگرامی گفته شده، دو تا لینک گذاشته شده بود برای راهنمایی دیگران به دزدی‌های بیشتر، در اختیار گذاشتن کدهای لازم برای راحت کردن دزدی توسط افراد متفرقه و یک اپلیکیشن برای کنترل حساب‌های بانکی دزدیده شده.

لینک به اپلیکیشن اندرویدی در گوگل پلی، نشون می‌ده که توسعه‌دهنده از ایمیل shotojoo@gmail.com استفاده کرده برای ساخت اکانت. همچنین لینک به اکانت گیت‌هاب برای انتشار فایل‌های آماده فیشینگ، نشون می‌ده که اکانت به اسم MR. X اما با آدرس shotojoo ساخته. مجموعه شواهد نشون می‌ده که اسم مستعار shotojoo همون آقای X است.

گیت‌هاب

 لازم به ذکره که بررسی فایل‌های آماده فیشینگ بانک سامان و اکانت‌های اینستاگرام که آقای X منتشر کرده، کدگزاری شده که محتواش معلوم نباشه اما من موفق شدم کدها رو بشکنم. این کدهای رایگان برای هک دیگران، به گونه‌ای نوشته شده که هروقت هرکسی با استفاده از این فایل‌ها اکانت کسی رو هک کرد، یک نسخه از اطلاعات اکانت یا کارت بانکی هک شده برای آقای x ارسال می‌شه.

شوتوجو کیست؟

از این مرحله و با در اختیار داشتن اسم مستعار دوم آقای x، جستجوهای گسترده‌ای رو شروع کردم که منجر شد به شناسایی چندین سایت، اکانت توییتر، اکانت یوتوب و موارد دیگه. شوتوجو پیش از این با همین اسم یک دامنه ir خریده بود و با اسم مستعار «پرهام شوتوجو» اپلیکیشن صیغه‌یاب منتشر کرده بود. این سایت اکنون در دسترس نیست.

صیغه‌یاب

به نظر می‌رسه همونطور که آقای x در کانالش راهنمایی کرده بود، اپلیکیشن صیغه‌یاب یک بدافزار بوده برای فریب کاربرانی که دنبال روابط جنسی رفته‌اند. برخی هکرها از این پوشش استفاده می‌کنند که پس از دزدی، مال باخته از ترس آبرو اقدام به شکایت نکنه.

صیغه‌یاب

از نکته‌های عجیبی که در اکانت‌های مختلف آقای شوتوجو دیدم، انتشار چندین عکس از یک پسر بچه به نام «شروین سرابی» است که خانواده‌اش مدعی شده‌اند نابغه است. بعد به این مورد اشاره می‌کنم.

اکانت vk

در جستجوها متوجه شدم که شوتوجو با اسامی مستعار دیگه‌ای در اینترنت فعالیت کرده از جمله «ناجی پرهام» و «ناجی بلک». در یکی از اکانت‌ها، «ناجی پرهام» گفته بود که ساکن کرجه. به تکرار کلمه «ناجی» دقت کنید.

شناسایی

بررسی‌ها من نشون می‌ده که آقای X یا آقای شوتوجو که ده‌ها سایت فیشینگ ساخته و از کارت‌های بانکی تعداد بسیار زیادی از مردم دزدی کرده، آقای «پرهام مرادزاده سراب» است. بر اساس اطلاعات جمع‌آوری شده، آقای پرهام مرادزاده سراب پس از خروج از ایران، مدتی در ترکیه بوده و کار دزدی رو ادامه داده و سپس با خانواده به آلمان رفته. ایشون چندماه پیش هم اکانت اینستاگرام مهدی قائدی، بازیکن تیم استقلال، رو هک کرد که منجر به شناساییش شد. بعد از اون هک، در مصاحبه‌ای ادعا کرد هکر کس دیگه بوده و اکانت رو بهش داده و گفت که دیگه تکرار نمی‌کنه هک کردن رو.

پرهام مرادزاده سراب

پس از هک اکانت اینستاگرام مهدی قائدی، اکانت هکر به اسم «ناجی تیم» تبلیغ شده بود. پیش از این به تکرار کلمه «ناجی» در اسامی مستعار ایشون اشاره کرده بودم.

مصاحبه با ایشون پس از لو رفتن هویتش در پی هک اکانت بازیکن استقلال:

اکانت فیسبوک پرهام مرادزاده سراب، نشون می‌ده که ایشون رابطه فامیلی با «شروین سرابی» داره و اون انتشار عکس‌ها توسط اکانت‌ها با اسم مستعار شوتوجو، بی‌دلیل نبوده.

در کدهای نوشته شده ایشون برای دزدی، که عمومی منتشر کرده تا با واسطه کارهای دزدهای دیگه بتونه آدم‌های بیشتری رو هک کنه، قربانی‌ها به یک کانال تلگرام به اسم «صیغه‌ یاب» منتقل می‌شن. در کانال «صیغه یاب» چندین اپلیکیشن اندرویدی منتشر شده که همگی تقلبی بوده و برای فیشینگ ساخته شده‌اند.

صیغه‌یاب

نام و نام خانوادگی: پرهام مرادزاده سراب

ساکن آلمان

شماره تلفن پیش از خروج از ایران: ۰۹۳۵۴۲۵۱۷۵۷

آدرس ایمیل: shotojoo@gmail.com و parham.moradzadeh@yahoo.com

اکانت توییتر: pshotojoo و parhammoradzade

اکانت فیسبوک: parham.moradzadeh.sarab

اکانت در سایت vk (مشابه فیسبوک در روسیه): id388194461

اکانت در سایت فلیکر: ۱۴۵۷۰۳۰۶۱@N07

اکانت گیت‌هاب: shotojoo

کانال یوتوب: UCBpNINiOudE5qGQzx_aJpeg

استاندارد
امنیت

پشت‌پرده‌ی پیامک تبلیغ وی‌پی‌ان

طی هفته‌های اخیر و در پی افزایش فیلترینگ، از کار افتادن فیلترشکن‌های عادی و حواشی کانال تلگرامی آمد نیوز، پیامک‌های تبلیغی در ابعاد زیاد برای ایرانی‌ها رسید حاوی لینکی به فایلی که ادعا می‌شد وی‌پی‌ان است. با توجه به دور از ذهن بودن همچین ادعایی، موضوع رو بررسی کردم.

تبلیغ وی‌پی‌ان آمدنیوز

لینک اول وی‌پی‌ان آمدنیوز

توزیع کننده فایل، در ابتدا فایل رو از طریق آدرس کوتاه‌شده‌ای در سوریس yon برای مردم ارسال کرده. همونطور که در تصویر زیر می‌بینید، فایل روی سرویس بکتوری قرار داده شده. خوشبختانه سرویس بکتوری در اسرع وقت و با گرفتن گزارش‌ها، دسترسی به فایل رو محدود کرده بود که افراد بیشتری قربانی این اتفاق نشن. هرچند که تا زمانی که سرویس بکتوری این فایل رو حذف بکنه، بیش از ۱۰۰ هزار نفر لینک رو باز کرده و فایل رو دانلود کرده بودند. اینکه چه بخشی از این افراد، فایل رو نصب هم کرده‌اند رو نمی‌دونم.

بکتوری

 با توجه به از دسترس خارج شدن این فایل، من نتونستم دانلود و بررسیش کنم. اما تا جایی که متوجه شدم فایل اول کار خاصی نمی‌کرده غیر از نشون دادن یک تصویر به اسم آمدنیوز و بعد ارسال sms به شماره‌های موجود در دفترچه تماس‌های قربانی و دعوت افراد جدید از طرف اونها، به نصب این اپلیکیشن (متن همون پیامک اول).

نکته‌ای قابل توجه در فایل اول، نام پروژه‌ایه که فرد یا افراد توزیع‌کننده انتخاب کردند در سرویس بکتوری. این فرد از اسم redfox استفاده کرده بود.

لینک دوم وی‌پی‌ان آمدنیوز

پس از ازکار افتادن لینک اول، توزیع‌کننده‌ها پیامک دیگه‌ای رو جایگزین کردند و فایل رو روی سرور دیگه‌ای توزیع کردند. فایل دوم رو دانلود و با سرویس ویروس‌توتال بررسی کردم. ۶ آنتی‌ویروس این فایل رو خطرناک شناسایی کردند.

ویروس توتال

وقتی آدرس کوتاه شده دوم رو چک کنیم، متوجه می‌شیم که که لینک اصلی دانلود، از سایت serviceclient12 است.

توزیع‌کننده‌ها از دامنه رایگان استفاده کردند که معمولا اطلاعات ناقص از مالک دامنه نشون می‌دن. اما نکته مهم اینه که این دامنه روی سروری با IP زیر میزبانی می‌شه.

با چک کردن این IP متوجه شدم که سایت namazhe[.]net هم روی این IP قرار داره. اطلاعات مالک نماژه رو ببینیم:

مالک دامنه نماژه

ایمیل مالک دامنه apd_1379 است که جستجوهای من نشون می‌ده متعلق به آقای امیرپارسا دهفولی است. در ادامه بررسی می‌کنم که آیا ایشون ربطی به این توزیع بدافزار داره یا خیر.

اول اینکه تنها سایت‌هایی که روی این سرور پیدا کردم همین دو تا، یعنی serviceclient12 و namazhe است که احتمال غیرمرتبط بودن و همسایگی اتفاقی رو کم می‌کنه.

اطلاعات NSهای دامنه نماژه نشون می‌ده که از NS‌های serviceclient12 استفاده می‌کنه و کنار هم بودنشون اتفاقی نیست. بنابراین کسی که کنترل دامنه نماژه رو داره، همون کسی است که سایت serviceclient12 (توزیع‌کننده بدافزار) رو کنترل می‌کنه.

NS

لیست دامنه‌های دیگه‌ای که آقای امیرپارسا دهفولی خریداری کرده رو در ادامه ببینید. بعدا با برخی از اینها روبه‌رو خواهیم شد.

فایل بدافزار دوم رو که چک کنیم، لیستی از آدرس‌های اینترنتی رو توش می‌بینیم که بهشون دیتا می‌فرسته یا ازشون دیتا می‌گیره. اونهایی که مهم بوده رو با فلش قرمز مشخص کردم.

URLs

آدرس elicharge رو می‌بینید که علاوه بر شباهت اسمی با سایر دامنه‌های ثبت شده آقای دهفولی، توسط فردی به نام محمد دهفولی ثبت شده.

همچنین آدرسی در همین سایت elicharge و با فرمتی مشابه بدافزار کنونی، در بدافزار دیگه‌ای که چندماه پیش توزیع شده بود، پیدا کردم. اون بدافزار قدیمی به اسم اپلیکیشن پخش زنده ماهواره پخش شده بود که گزارش‌هایی از دزدی اطلاعات مالی کاربران در موردش وجود داشت که چون بررسی مجددی روش انجام ندادم، نمی‌تونم صحتش رو کاملا تایید کنم.

در اپلیکیشن پخش زنده ماهواره، از آدرس زیر برای پرداخت استفاده شده بود.

این دامنه از مجموعه دامنه‌های تحت مالکیت آقای دهفولی است. همچنین شباهت زیادی به دامنه hamzadserver داره که به نظر می‌رسه یک دامنه واقعی نیست و فقط تغییر یافته hamzad است.

دامنه hamzad روی IP‌زیر قرار داره و از NS‌های دامنه elipay استفاده می‌کنه. elipay یکی دیگه از دامنه‌های آقای دهفولی است.

دو دامنه دیگه وجود دارند که دقیقا همین مشخصات رو دارند، یعنی روی IP‌ بالا میزبانی می‌شن و از NS‌های elipay استفاده می‌کنند. یکی از این دامنه‌ها متعلق به مجموعه ad-venture است که یک شرکت تبلیغاتی با تمرکز روی تبلیغات تلگرامی است. یکی از پروژه‌های مجموعه ادونچر، کانال تلگرامی نماژ (namazh) است که اسمی مشابه سایت نماژه داره. در بالا دیدیم که فایل آلوده از همون سروری توزیع شده که سایت نماژه روش قرار داره. تحقیقات من نشون می‌ده که آقای امیرپارسا دهفولی از کارمندان این شرکت است. با وجود اینکه از زیرساخت و منابع شرکت، برای ساخت و توزیع بدافزار استفاده شده اما هیچ شاهد قطعی وجود نداره که نشون بده افراد دیگه (و مخصوصا مدیریت این مجموعه) در جریان این مساله بوده و دخالتی داشته‌اند.

همچنین در کانال تلگرام elipay که وابسته به سایت elipay  و متعلق به آقای دهفولی است، می‌بینید که کانال namazh رو به عنوان راه ارتباطی برای درخواست همکاری معرفی کرده.

معرفی

با توجه به به موارد گفته شده و اطلاعات دیگه‌ای که برای جلوگیری از طولانی شدن مطلب از نوشتنش خودداری کردم، واضح است که آقای امیرپارسا دهفولی از کارمندان ادونچر، با سواستفاده از زیرساخت این شرکت اقدام به توزیع بدافزار بین بخش زیادی از مردم کرده. اطلاعات تماس و اکانت‌های ایشون رو در ادامه می‌نویسم که در صورت آسیب دیدن توسط این بدافزارها، بتونید از مراجع قانونی اقدام کنی. توجه داشته باشید که تلفن‌ها قدیمی است و احتمال تغییر مالکیت وجود داره. مجدد یادآوری می‌کنم که شاهد قطعی مبنی بر همکاری سایر اعضا و مدیریت مجموعه ادونچر در تهیه و توزیع بدافزار ندیدم و به نظر می‌رسه سواستفاده شخصی بوده.

ایمیل: apd_1379@yahoo.com و apd13791@gmail.com

اکانت‌های تلگرام: clashstore و telegradminiran و iluez و elipay

شماره تلفن: ۰۹۲۰۳۱۸۷۶۸۰ و ۰۹۳۷۱۵۷۸۴۲۹

استاندارد