لینک جعلی Calendar در X؛ حساب‌های کریپتو در خطر

یک کمپین فیشینگ پیشرفته جدید حساب‌های کاربری افراد فعال در حوزه ارزهای دیجیتال روی شبکه اجتماعی X را هدف قرار داده است. این کمپین از تاکتیک‌هایی استفاده می‌کند که می‌تواند احراز هویت دو مرحله‌ای را دور بزند و ظاهر موجه‌تری نسبت به کلاه‌برداری‌های سنتی دارد.

به گفته زی‌اک کول، توسعه‌دهنده فعال در امور کریپتو و طبق پستی که از چهارشنبه گذشته در شبکه X منتشر کرده، یک کمپین فیشینگ جدید از زیرساخت‌های خود شبکه X برای تصاحب حساب‌های کاربری این افراد استفاده می‌کند. او اظهار داشت که این حملات در حال حاضر در حالت فعال قرار دارند و شناسایی نشده‌اند.

کول تاکید کرد که این حمله شامل صفحات ورود جعلی یا دزدی رمز عبور نمی‌شود. بلکه با استفاده از پشتیبانی برنامه‌ها در X به دسترسی حساب‌ها می‌پردازد و احراز هویت دو مرحله‌ای را نیز دور می‌زند.

طراحی پیام فیشینگ معتبر

ویژگی قابل توجه در این کمپین فیشینگ، معتبر و مخفی بودن آن است. حمله با پیام شخصی شبکه X حاوی یک لینک آغاز می‌شود که به نظر می‌رسد به دامنه رسمی Google Calendar هدایت شود، و این به دلیل نحوه ایجاد پیش‌نمایش‌ توسط شبکه اجتماعی X است. برای نمونه در مورد کول، پیام ادعا می‌کرد از طرف نماینده یک مؤسسه سرمایه‌گذاری به نام Andreessen Horowitz ارسال شده است.

دامنه‌ای که پیام به آن منتهی می‌شد، به صورت "x(.)ca-lendar(.)com" ثبت شده که این ثبت در تاریخ ۲۰ سپتامبر انجام شده است. اما به لطف استفاده از متادیتا، در پیش‌نمایش X دامنه calendar.google.com نشان داده می‌شود.

با کلیک بر روی این لینک، جاوااسکریپت صفحه به یک نقطه پایانی احراز هویت در X هدایت می‌شود و درخواست تأییدیه برای یک برنامه جهت دسترسی به حساب کاربری اجتماعی‌تان می‌دهد. این برنامه به نظر می‌رسد "Calendar" باشد، اما بررسی فنی متن آشکار می‌کند که نام این برنامه شامل دو کاراکتر سیریلیک است که دقیقاً شبیه به "a" و "e" می‌باشد که آن را از برنامه واقعی "Calendar" در سیستم X متمایز می‌سازد.

نشانه‌ای که حمله را فاش می‌کند

تاکنون، آشکارترین علامت که ممکن است نشان دهد لینک معتبر نیست، همان URL بود که پیش از هدایت کاربر به سرعت ظاهر می‌شود و مشاهده آن راحت نیست.

با این حال، در صفحه احراز هویت X، اولین نشانه این‌که این واقعاً یک حمله فیشینگ است، در درخواست امتیازات جامع کنترل حساب کاربری برنامه دیده می‌شود، که شامل دنبال‌ کردن و لغو دنبال‌ کردن حساب‌ها، بروزرسانی پروفایل و تنظیمات حساب، ایجاد و حذف نوشته‌ها، تعامل با نوشته‌های دیگران و غیره است.

این امتیازات برای یک برنامه تقویم غیرضروری به نظر می‌رسد و ممکن است نشانه‌ای باشد که یک کاربر دقیق را از وقوع حمله نجات دهد. اگر اجازه داده شود، مهاجمان به حساب دسترسی پیدا می‌کنند و کاربر با هدایت به calendly.com و خلاف پیش‌نمایش Google Calendar یک نشانه دیگر مشاهده می‌کند.

کول تاکید کرد: «Calendlly؟ آنها Google Calendar را جعل کرده‌اند اما به Calendly هدایت می‌شوند؟ این یک نقص عمده امنیت عملیاتی است. این ناسازگاری ممکن است قربانیان را هشدار دهد.»

بر اساس گزارش کول در GitHub، برای بررسی اینکه آیا پروفایل شما تحت تأثیر حمله قرار گرفته است و برای بیرون راندن مهاجمان از حساب، توصیه می‌شود به صفحه برنامه‌های متصل شبکه X مراجعه کنید. سپس، پیشنهاد داده می‌شود هر برنامه‌ای با نام "Calendar" یا "Cаlеndar" را لغو کنید. همچنین به طور کلی توصیه می‌شود هر برنامه‌ای که به طور فعال از آن استفاده نمی‌کنید را لغو کنید.