کمپین فیشینگ هدفمند علیه متخصصان فناوری

محققان Check Point Research از شناسایی یک کمپین فیشینگ پیشرفته خبر داده‌اند که توسط گروهی با نام Educated Manticore اجرا شده و متخصصان فناوری، اساتید دانشگاهی و روزنامه‌نگاران در منطقه خاورمیانه، به‌ویژه در اسرائیل، را هدف قرار داده است. این گروه با استفاده از تکنیک‌های پیچیده مهندسی اجتماعی و فناوری‌های مدرن، تلاش کرده تا اطلاعات حساس مانند اطلاعات ورود به حساب‌های کاربری را به دست آورد. این کمپین، که از ژانویه ۲۰۲۵ شدت گرفته، نشان‌دهنده افزایش فعالیت‌های سایبری در منطقه است.

جزئیات کمپین فیشینگ چیست؟

• نوع تهدید: فیشینگ هدفمند (Spear-Phishing)

• هدف‌ها: اساتید علوم کامپیوتر، محققان امنیت سایبری و روزنامه‌نگاران در اسرائیل

• روش اجرا: جعل هویت افراد معتبر (مانند کارکنان شرکت‌های امنیتی یا دستیاران مدیران فناوری) از طریق ایمیل و پیام‌های واتساپ

• تکنیک‌ها: استفاده از صفحات جعلی ورود به Gmail، Google Meet، Outlook و Yahoo، همراه با برنامه‌های تک‌صفحه‌ای مبتنی بر React

• تأثیر: سرقت اطلاعات ورود، کدهای احراز هویت دوعاملی (2FA) و دسترسی غیرمجاز به حساب‌ها

• زیرساخت: بیش از ۱۳۰ دامنه منحصربه‌فرد، عمدتاً ثبت‌شده از طریق NameCheap، با ده‌ها زیردامنه و ۱۲ آدرس IP

این کمپین با استفاده از محتوای ظاهراً معتبر و بدون خطای نگارشی، که احتمالاً با ابزارهای هوش مصنوعی تولید شده، اعتماد قربانیان را جلب می‌کند. در برخی موارد، پیام‌ها پیشنهاد جلسات حضوری در تل‌آویو را مطرح کرده‌اند که ممکن است برای افزایش حس فوریت طراحی شده باشد.

چگونه این کمپین عمل می‌کند؟

1. تماس اولیه: مهاجمان با جعل هویت افراد معتبر، از طریق ایمیل یا واتساپ با قربانیان تماس می‌گیرند و پیشنهاد همکاری یا مشاوره در زمینه امنیت سایبری می‌دهند.

2. هدایت به صفحات جعلی: قربانیان به صفحات ورود جعلی هدایت می‌شوند که شبیه سرویس‌های معتبر مانند Gmail یا Google Meet طراحی شده‌اند.

3. سرقت اطلاعات: اطلاعات ورود و کدهای 2FA از طریق کی‌لاگرهای مبتنی بر WebSocket یا رله‌های بلادرنگ جمع‌آوری می‌شوند.

4. حذف ردپا: زیرساخت‌های مخرب به‌سرعت غیرفعال می‌شوند تا ردیابی دشوار شود.
   این گروه از فناوری‌های مدرن مانند برنامه‌های تک‌صفحه‌ای (SPA) و کدهای مبهم‌سازی‌شده استفاده می‌کند تا تشخیص توسط ابزارهای امنیتی را دشوار کند.

وضعیت کنونی کمپین

تا ۱۲ ژوئن ۲۰۲۵، این کمپین همچنان فعال است و اهداف با ارزش بالا مانند اساتید برجسته و روزنامه‌نگاران را هدف قرار داده است. گزارش‌های منتشرشده در X توسط حساب‌هایی مانند @Cyber_O51NT و @3rdStng نشان‌دهنده نگرانی فزاینده در مورد این فعالیت‌ها هستند. Check Point Research بیش از ۱۳۰ دامنه مرتبط با این کمپین را شناسایی کرده که بسیاری از آن‌ها به سرعت غیرفعال می‌شوند تا از ردیابی جلوگیری کنند.

اقدامات لازم برای محافظت

برای محافظت در برابر این نوع حملات:

1. بررسی دقیق پیام‌ها: ایمیل‌ها و پیام‌های واتساپ ناشناس را با دقت بررسی کنید و از کلیک روی لینک‌های مشکوک خودداری کنید.

2. استفاده از 2FA پیشرفته: از کلیدهای امنیتی فیزیکی یا برنامه‌های احراز هویت مانند Google Authenticator به جای کدهای SMS استفاده کنید.

3. به‌روزرسانی نرم‌افزارها: مرورگرها و سیستم‌های عامل را به‌روز نگه دارید تا از آسیب‌پذیری‌ها محافظت شوید.

4. آموزش کاربران: کارکنان و افراد را در مورد تکنیک‌های فیشینگ و مهندسی اجتماعی آموزش دهید.

5. نظارت بر شبکه: سازمان‌ها باید با ابزارهای SIEM ترافیک شبکه را برای شناسایی فعالیت‌های مشکوک بررسی کنند.

6. گزارش موارد مشکوک: هرگونه تماس یا پیام غیرمنتظره را به تیم‌های امنیتی گزارش دهید.

چرا این تهدید مهم است؟

این کمپین نشان‌دهنده پیچیدگی روبه‌رشد حملات سایبری هدفمند در منطقه خاورمیانه است. استفاده از فناوری‌های مدرن و جعل هویت افراد معتبر، این حملات را به تهدیدی جدی برای افراد و سازمان‌ها تبدیل کرده است. سرقت اطلاعات حساس می‌تواند به دسترسی غیرمجاز، جاسوسی سایبری یا حتی خسارات مالی منجر شود. هوشیاری و به‌روزرسانی مداوم اقدامات امنیتی برای کاهش این خطرات ضروری است.