کلاهبرداری ایمیلی از اداره تامین اجتماعی، صورتحساب الکترونیکی موجود است
مجرمان سایبری اغلب از کمپینهای ایمیلی متقاعدکننده برای فریب گیرندگان جهت باز کردن فایلهای مخرب، افشای اطلاعات حساس یا نصب بدافزار استفاده میکنند. به همین دلیل، ضروری است که هر زمان ایمیل غیرمنتظرهای دریافت شد، به خصوص هنگامی که ادعا میشود حاوی اسناد مهم یا اعلانهای فوری است، محتاط باشید. ایمیلهای «بیانیه الکترونیکی اداره تأمین اجتماعی موجود است» نمونه بارز این تاکتیک هستند. این پیامها جعلی هستند و به هیچ شرکت، سازمان، آژانس دولتی یا نهاد قانونی مرتبط نیستند. تنها هدف آنها آلوده کردن دستگاههای قربانیان و فراهم کردن دسترسی غیرمجاز برای مهاجمان است.
فهرست مطالب
نگاهی دقیقتر به کلاهبرداری
تجزیه و تحلیل ایمیلهای «صورتحساب الکترونیکی اداره تامین اجتماعی موجود است» نشان داده است که آنها بخشی از یک کمپین هرزنامه مخرب هستند که برای جعل هویت اداره تامین اجتماعی (SSA) طراحی شدهاند. این ایمیلها به دروغ به گیرندگان اطلاع میدهند که صورتحساب تامین اجتماعی سال ۲۰۲۶ آنها برای دانلود در دسترس است.
برای اینکه پیام معتبر به نظر برسد، کلاهبرداران جزئیاتی مانند شناسه مرجع، تاریخ و دکمه «دانلود صورتحساب الکترونیکی» را که به طور برجسته نمایش داده میشود، اضافه میکنند. این عناصر برای ایجاد حس مشروعیت و تشویق گیرندگان به اعتماد به ایمیل در نظر گرفته شدهاند. با این حال، اداره تأمین اجتماعی واقعی هیچ دخالتی در این پیامها ندارد.
هدف این کمپین، فریب دادن گیرندگان برای کلیک روی دکمهی ارائه شده است که مرحلهی بعدی حمله را آغاز میکند.
پورتال تأیید جعلی
گیرندگانی که روی دکمه دانلود کلیک میکنند، به یک وبسایت جعلی هدایت میشوند که با دقت طراحی شده و شبیه یک صفحه رسمی SSA است. به محض ورود، به بازدیدکنندگان پیام «تأیید هویت الزامی است» نمایش داده میشود و از آنها خواسته میشود تا با یک اسلایدر تعامل کنند تا فرآیند دانلود سند آغاز شود.
این وبسایت به جای ارائه صورتحساب تأمین اجتماعی، بهطور خودکار فایلی با نام 'ScreenConnect.ClientSetup.msi' را به دستگاه بازدیدکننده ارسال میکند. این سایت همچنین اطلاعیهای را نمایش میدهد که ادعا میکند اسناد فقط از طریق رایانههای مبتنی بر ویندوز قابل دسترسی هستند. این محدودیت عمدی است، زیرا به مهاجمان کمک میکند تا کاربران ویندوز را هدف قرار دهند و احتمال عملکرد صحیح نصبکننده مخرب را افزایش میدهد.
فرآیند تأیید هیچ هدف مشروعی را دنبال نمیکند و صرفاً برای این است که دانلود قابل اعتماد به نظر برسد.
نحوهی عملکرد نصبکنندهی مخرب
فایل دانلود شده حاوی یک نسخه اصلاحشده از ScreenConnect است که با نام ConnectWise Control نیز شناخته میشود. در شرایط عادی، ScreenConnect یک ابزار قانونی برای ریموت دسکتاپ و پشتیبانی است که بهطور گسترده توسط متخصصان و سازمانهای فناوری اطلاعات مورد استفاده قرار میگیرد.
با این حال، در این کمپین، نرمافزار تغییر داده شده و پیکربندی شده است تا به طور مخفیانه با سرورهای تحت کنترل مهاجمان ارتباط برقرار کند. پس از نصب و اجرا، برنامه تروجانشده به عاملان تهدید دسترسی از راه دور و بدون نظارت به سیستم آسیبدیده اعطا میکند.
این سطح دسترسی به مهاجمان اجازه میدهد طیف گستردهای از فعالیتهای مخرب را بدون اطلاع قربانی انجام دهند.
خطرات نفوذ به سیستم از راه دور
وقتی مهاجمان از طریق نرمافزارهای مخرب به سیستم دسترسی از راه دور پیدا میکنند، عواقب آن میتواند شدید باشد. آنها ممکن است بتوانند:
- فعالیتهای قربانی را زیر نظر داشته باشید و هر آنچه روی صفحه نمایش داده میشود را مشاهده کنید.
- سرقت اسناد، اطلاعات ورود به سیستم، اطلاعات بانکی و سایر دادههای حساس.
- نصب بدافزارهای اضافی، از جمله باجافزار، جاسوسافزار یا تهدیدهای سرقت اطلاعات.
- دستکاری فایلها و تنظیمات سیستم.
- انجام تراکنشهای مالی غیرمجاز یا سوءاستفاده از حسابهای آنلاین هکشده.
هر رایانهای که نصبکنندهی مخرب ScreenConnect روی آن اجرا شده باشد، باید کاملاً آلوده در نظر گرفته شود. اقدامات فوری واکنش به حادثه برای مهار تهدید و جلوگیری از آسیب بیشتر ضروری است.
چگونه ایمیلهای اسپم بدافزار را منتقل میکنند؟
کمپین «اظهارنامه الکترونیکی سازمان تأمین اجتماعی موجود است» یک استراتژی رایج توزیع بدافزار را که توسط مجرمان سایبری استفاده میشود، نشان میدهد. ایمیلهای اسپم مخرب معمولاً بدافزار را از طریق پیوستها یا لینکهای جاسازیشده منتشر میکنند.
پیوستها ممکن است در قالبهای مختلفی از جمله اسناد مایکروسافت آفیس، فایلهای PDF، آرشیوهای ZIP، فایلهای اجرایی و اسکریپتها ارسال شوند. برخی از آلودگیهای بدافزاری به محض باز شدن فایل آغاز میشوند، در حالی که برخی دیگر از گیرندگان میخواهند که ماکروها را فعال کنند یا اقدامات اضافی انجام دهند.
به طور مشابه، لینکهای مخرب اغلب کاربران را به وبسایتهایی هدایت میکنند که خود را به عنوان پورتالهای اسناد امن، سرویسهای تأیید هویت یا صفحات دانلود پنهان میکنند. این سایتها طوری طراحی شدهاند که بازدیدکنندگان را به دانلود و اجرای فایلهای مضر ترغیب کنند. در برخی موارد، دانلودها به طور خودکار شروع میشوند، در حالی که در موارد دیگر، از تکنیکهای مهندسی اجتماعی برای متقاعد کردن قربانیان به اجرای بدافزار توسط خودشان استفاده میشود.
تشخیص علائم هشدار دهنده
چندین ویژگی میتواند به شناسایی کلاهبرداریهایی از این نوع کمک کند:
شناخت این شاخصها میتواند به جلوگیری از قرار گرفتن تصادفی در معرض بدافزارها و سایر تهدیدات سایبری کمک کند.
ارزیابی نهایی
کمپین ایمیلی «بیانیه الکترونیکی اداره تامین اجتماعی موجود است» یک طرح توزیع بدافزار خطرناک است که برای جلب اعتماد قربانیان، خود را به جای اداره تامین اجتماعی جا میزند. این کلاهبرداری به جای ارائه صورتحساب سالانه، گیرندگان را به یک پورتال تأیید جعلی هدایت میکند که یک نصبکننده تروجاندار ScreenConnect را دانلود میکند.
پس از اجرا، نرمافزار مخرب به مهاجمان دسترسی از راه دور به سیستم آسیبدیده میدهد که بهطور بالقوه منجر به سرقت دادهها، نفوذ به حساب، ضررهای مالی و آلودگیهای بدافزاری دیگر میشود. گیرندگانی که با این ایمیلها مواجه میشوند باید فوراً آنها را حذف کرده و از کلیک روی هرگونه لینک یا دانلود هرگونه فایل موجود در پیام خودداری کنند.
System Messages
The following system messages may be associated with کلاهبرداری ایمیلی از اداره تامین اجتماعی، صورتحساب الکترونیکی موجود است:
Subject: Your eStatement is here - Thank You for Choosing Online Access 53345763 5/29/2026 |
