الا أن هذا الأمر ساعد المخترقين و المجرمين و المحتالين على شبكة الإنترنت لإيجاد طرق جديدة للإحتيال على ضحاياهم دون الحاجة للتواصل بشكل مباشر مع هذه الضحايا لخداعهم و إختراقهم.
فلنبدأ
كان العام 2015 عام غني بالطرق الخاصة لإنتشار البرامج الخبيثة ورسائل الإحتيال عبر تطبيق WhatsApp, حيث انتشرت العديد من رسائل الإحتيال (scam) على هذا التطبيق و بأكثر من شكل والتي هدفت اما للربح المالي من المستخدم وبعدة طرق او لإختراق أجهزة المستخدمين بواسطة خداعهم لتحميل تطبيقات ضارة (Malwares) للتحكم بهذه الأجهزة.
تعتبر أي بيئة او تطبيق او نظام يتم استخدامه من قبل عدد كبير من المستخدمين عبارة عن بيئة خصبة للمخترقين لإستغلالها في اتمام عمليات الخداع و الإختراق التي يعملون عليها وهذا ما يحدث مع كل من مواقع الفيسبوك و تويتر و تطبيقات مثل WhatsApp و Viber وغيرها من الخدمات ذات الإقبال الكبير. حيث يمكن للمخترق أن يدخل في محادثة طويلة مع الضحية وذلك ليقوم بخداعه بعدد كبير من الطرق والتي تتجدد مع الوقت. هذا الأمر جعل من الضروري أن نقوم بتنبيه المستخدمين لهذا التطبيق حول هذه الطرق و الاساليب.
احدى الطرق التي يمكن أن يتم استخدامها لخداعك عبر تطبيق WhatsApp هي بواسطة رسائل مزيفة (scam) يتم ارسالها لك تخبرك بضرورة تحميل تطبيق يقوم بإضافة ميزات جديدة على الـ WhatsApp مثل :
– تغيير الخلفيات.
– مكالمات الفيديو.
– اضافة صور متحركة.
بالإضافة الى العديد من الطرق و الأساليب وهذا ما حدث مؤخراً. حيث وصلت رسالة تخبر الضحايا بأن تطبيق WhatsApp سيطلق خدمة جديدة وهي خدمة تدعى “خدمة الإتصال الضوئي” والتي من خلالها سيتمكن المستخدمون لهذا التطبيق استخدام الإنترنت بشكل مجاني ولامحدود!!! حيث تطلب الرسالة من الضحايا زيارة نطاق معين.
تبين الصور التالية بعض الأمثلة لهذه الرسالة :
الصورة رقم “1” – تبين هذه الصورة احدى أمثلة رسائل الإحتيال (ٍSCAM) التي تم ارسالها
الصورة رقم “2” – تبين هذه الصورة مثال آخر لرسائل الإحتيال (ٍSCAM) التي تم ارسالها
سنقوم الآن بعمل تحليل كامل للرسالة السابقة للتعرف على الآلية المستخدمة فيها لخداع و اختراق الضحايا. حيث أن اول نوع من أنواع الهجمات وهو الهجوم الرئيسي في مثل هذه الأنواع من الحملات هو الهندسة الإجتماعية (Social Engineering) وذلك بخداع المستخدمين للدخول الى الرابط بواسطة محتوى الرسالة والذي يخبر المستخدمين بأنهم اذا قاموا بالدخول للرابط الموجود فإنهم سيحصلون على خدمة انترنت مجاني!!!.
– بداية الظهور والإنتشار
مع بداية العام الحالي 2016 انتشرت الرسالة السابقة والخاصة بخدمة الإتصال الضوئي. حيث وصلت هذه الرسالة للعديد من الاصدقاء و بدأوا بإرسال هذه الرسائل لي لتحليلها واخبروني ايضاً بأنها وصلتهم من أصدقاء لديهم يتواصلون معهم عبر تطبيق الـ WhatsApp وليست من جهات غير معروفة!!
– محاولة تحديد الجهة وراء هذه الرسالة
قبل البدء بتحليل الآلية المستخدمة في هذه الرسالة والغاية منها رغبت أن اعرف من هي الجهة المسؤولة عن هذه الرسالة وذلك بالرجوع الى بيانات التسجيل لهذا النطاق ولكني وجدت بأن مالكي هذا النطاق استخدموا خدمة من خدمات اخفاء بيانات النطاق (Domain Name) وهذا ما توضحه الصورة التالية :
– بداية الظهور والإنتشار
مع بداية العام الحالي 2016 انتشرت الرسالة السابقة والخاصة بخدمة الإتصال الضوئي. حيث وصلت هذه الرسالة للعديد من الاصدقاء و بدأوا بإرسال هذه الرسائل لي لتحليلها واخبروني ايضاً بأنها وصلتهم من أصدقاء لديهم يتواصلون معهم عبر تطبيق الـ WhatsApp وليست من جهات غير معروفة!!
– محاولة تحديد الجهة وراء هذه الرسالة
قبل البدء بتحليل الآلية المستخدمة في هذه الرسالة والغاية منها رغبت أن اعرف من هي الجهة المسؤولة عن هذه الرسالة وذلك بالرجوع الى بيانات التسجيل لهذا النطاق ولكني وجدت بأن مالكي هذا النطاق استخدموا خدمة من خدمات اخفاء بيانات النطاق (Domain Name) وهذا ما توضحه الصورة التالية :
وجدت ايضاً بأن هذا النطاق تم تسجيله بتاريخ 2-1-2016 وهو مستضاف في استضافة من شركة webhostbox وهذا ما تبينه الصورتان التاليتان :
عندما قمت بالإستعلام عن البيانات الخاصة بالنطاق الآخر (http://www.wifi-ultra-light.com) وجدت بأن البيانات تقريباً مشابهة. حيث تم تسجيل النطاق بتاريخ 1-1-2016 ومستضاف على نفس الإستضافة.
– البدء بعملية التحليل
في البداية قمت بالدخول للروابط السابقة من الجهاز الخاص بي (الكمبيوتر الشخصي) فوجدت بأن الموقع قد ظهر لثانية وبعدها تم تحويلي الي الرابط المختصر التالي : http://fu.je/8s7d . حيث تعتبر خدمة FU.JE عبارة عن احدى المواقع التي تقدم خدمة الروابط المختصرة و التي يتم من خلالها اختصار الروابط لنشرها عبر الإنترنت. بمجرد النقر على هذه الروابط المختصرة يتم تحويلك لصفحة يظهر فيها اعلانات تجبرك الإنتظار لمدة معينة من الزمن وبعدها تسمح لك للإنتقال للرابط المراد. والهدف من انشاء هذه الروابط هو الربح المالي.
بعد النقر على زر المتابعة تم نقلي للرابط التالي : http://videos.fun4ar.com وهو موقع مليء بالإعلانات ويحتوي على فيديوهات بمضحكة وغيرها والواضح بأن الهدف منه أيضا الربح المالي, حيث أنه وبمجرد النقر على أي مكان في الصفحة تبدأ الإعلانات و النوافذ المنبثقة بالظهور.
ملاحظة : قمت بمحاولة استطلاع بيانات تسجيل نطاق fun4ar.com ووجدت بأنها محمية أيضاً كسابقاتها وهذا الأمر قمت به أيضا بجميع النطاقات التي ظهرت لي.
قمت بعدها بزيارة الموقع مرة أخرى ولكن هذه المرة مع إعتراض أي عمليات تحويل للرابط المختصر السابق وذلك لتحليل آلية عمل الموقع وظهر الموقع بالشكل التالي :
يظهر من خلال الصورة وجود زران أخضران أحدهما مكتوب عليه “تفعيل الميزة” والآخر “دعوة الأصدقاء” كما يوجد في الأسفل تنبيه بضرورة دعوة 15 شخص من قائمة الأصدقاء لديك على تطبيق WhatsApp وهذا ما يوضح سبب وصول هذه الرسائل من أصدقاء في قائمة الإتصال.
بعد استعراض الشفرة المصدرية للصفحة تبين إحتوائها على عدد من دوال JavaScript والتي يعمل كل منها لهدف وغاية محددة. لذا دعونا نأخذ نظرة على هذه الدوال ومعرفة وتحليل الهدف من كل دالة منها.
من الصورة رقم 9 نجد بأن الدالة تقوم بإستدعاء دالة تدعى detecmob وهي الموجودة في الصورة رقم 10 والتي بدورها تعمل على فحص نوع الجهاز الذي تم زيارة الموقع منه وذلك بواسطة فحص الـ user-agent وهي تحتوي على بيانات حول نظام التشغيل و نوع المتصفح و اصداراتهما. فإذا تم الكشف بأن الموقع تم زيارته من نظام تشغيل خاص بالأجهزة الذكية فإن هذه الدالة لن تقوم بعمل أي شيء واذا تم زيارته من الكمبيوتر الشخصي فإنه سيتم تحويلنا الى الرابط المختصر السابق (http://fu.je/8s7d) وهذا ما يفسر ظهور الصفحة لثوانٍ وبعدها تحويلنا للرابط عندما تصفحته من الجهاز الشخصي.
تقوم بعدها الدالة في الصورة رقم 9 بقراءة ملف cookies من الجهاز بإسم invites وتقوم بكتابته في عنصر مخفي (hidden field) اسمه num وهذه البيانات هي عبارة عن عدد الأشخاص الذين قام الضحية بدعوتهم وذلك بواسطة ارسال رسالة عن طريق النقر على زر “دعوة الأصدقاء” الموجود في الموقع.
الصورتان 11 و 12 تبينان الدالتان setcookie و getcookie وهما مسؤولتان عن تغيير قيمة الـ cookie و قراءة القيمة من ملف الـ cookie على التوالي
نأتي الآن للدالتين الأخيرتين وهما fn1 و fn2 كما يظهران في الصورتين 13 و 14 على التوالي.
تعمل الدالة fn1 بدايةً على قراءة قيمة الـ cookie والتي تم تخزينها في العنصر num ومن ثم يتم زيادتها بقيمة 1 وتخزينها مرة أخرى في العنصر num والتعديل على قيمة الـ cookie التي تدعى invites.
بعد ذلك يتم فحص قيمة المتغير الذي تم قراءته من العنصر num بعد اضافة الرقم 1 عليه و فحص فيما اذا كانت القيمة اقل او تساوي 15 ام لا.
اذا كانت كذلك يتم اجبار الضحية على ارسال رسالة عبر تطبيق الـ WhatsApp تحتوى على نفس البيانات السابقة وذلك لكي تصل هذه الرسالة لعدد أكبر من مستخدمي التطبيق وبالتالي وقوع عدد أكبر من الضحايا.
اما اذا كانت القيمة اكبر من 15 فستظهر رسالة تفيد بأن الضحية قد نجح وسيتم تحويله الى رابط آخر وهو الرابط التالي : https://fuje.tv/wpush.php
اما الدالة fn2 بتقوم بالتحقق مما اذا قام الضحية بإرسال الرسالة لـ 15 صديق ام لا وذلك بفحص القيمة المتواجدة في العنصر num. بحيث اذا تحقق الشرط يتم تحويله للرابط السابق و اذا لم يتم تحققه تظهر رسالة تخبره بالعدد الذي قام بارساله وبأنه يتوجب عليه الوصل للقيمة 15.
بالمختصر, فإنه عندما يقوم المستخدم بالدخول الى الموقع فإن الدالة الموجودة في الصورة رقم 1 سيتم تنفيذها وذلك ليتم التأكد مما اذا كان المستخدم قد زار الموقع من الكمبيوتر أم جهاز نقال. بعدها اذا كان من جهاز شخصي (ليس جهاز ذكي) فإنه سيتم تحويله للرابط http://fu.je/8s7d اما اذا كان جهاز ذكي (Android, iOS, وغيرها من أنظمة التشغيل الأخرى) فهذا يعني بأن الموقع سيظهر بشكله الأول.
عندما يحاول المستخدم بعدها النقر على زر “تفعيل الميزة” سيتم استدعاء الدالة fun2 لكي يتم التأكد من عدد الأشخاص الذين تم دعوتهم عبرتطبيق الـ WhatsApp و اذا نقر على زر “دعوة الأصدقاء” يتم استدعاء الدالة fun1.
لذا قمت بأخذ الرابط https://fuje.tv/wpush.php وزيارته بشكل مباشر دون الحاجة للنقر على اي زر وذلك لتخطي النقر على زر “دعوة الأصدقاء” لـ 15 مرة. تم تحويلي لعدة روابط وفي كل مرة يكون شكل الصفحة النهائية ولرابط الظاهر مختلفان عن المرة السابقة.
في بعض المرات كان يعاد توجيهي الى صفحات تطلب مني الإشتراك بخدمة رسائل قصيرة عبر الـ SMS والـ MMS وتطلب مني ادخال رقم هاتفي لتفعيل الخدمة يكون في اسفل كل صفحة منها ملاحظة بان هذه الخدمة هي عبارة عن خدمة مدفوعة بمبلغ معين. وهذا ما تظهره الصور التالية :
في البعض الآخر كانت تظهر لي رسائل مختلفة مثل :
– ضرورة تحديث متصفح الفايرفوكس.
– ضرورة تحديث نظام تشغيل الأندرويد.
وغيرها من الرسائل المختلفة وهذا ما تظهره الصور التالية :
في هذه الحالة و بعد النقر على زر Download يتم تحميل ملف apk مختلف في كل مرة ولقد حصلت على اربعة عينات و قمت بفحصها على موقع virustotal وكانت النتائج عند فحصها قبل عدة ايام بأنها خالية تماماً من اي ملفات خبيثة وهذا ما يظهر في الصورة رقم 21 والتي تبين نتيجة الفحص لاحدى هذه التطبيقات.
لكني قمت بتنصيبها على جهاز أندرويد وهمي ووجدت بأنها تطلب صلاحيات كبيرة جداً جداً (كل تطبيق طلب صلاحيات مختلفة) مثل :
– الوصول الى سجل الإتصالات
– الوصول الى الرسائل القصيرة
– الوصول الى الحسابات المعرّفة على الجهاز
– الإتصال بشبكة الوايرليس
– التحكم بالبلوتوث
– التحكم بالتطبيقات على الجهاز
– التحكم بالرجاج (vibrator) في الجهاز
– تحديد الموقع الجغرافي
– التحكم بذاكرة SD
– القدرة على ارسال رسائل SMS
– القدرة على اجراء اتصالات
وغيرها الكثير الكثير والصورة التالية تظهر بعض هذه الصلاحيات.
مما يؤكد بأن هذه التطبيقات هي تطبيقات خبيثة حتى ولم يتم كشفها من قبل مضادات الفايروسات المختلفة بأنها تطبيقات خبيثة. لأنه من السهل أن يقوم مطوري هذه التطبيقات بتطوير طرق لتجاوز أنظمة الفحص المستخدمة من قبل مكافحات الفايروسات و البرامج الخبيثة.
اعدت يوم أمس وقبل كتابة هذه المقال عملية الفحص فكانت العملية لجميع العينات الأربعة التي قمت بتحميلها على موقع virustotal بأنها ملفات خبيثة وهذا ما يظهر في الروابط التالية والخاصة بنتائج عملية الفحص :
التطبيق الأول : الرابط من هنا
التطبيق الثاني : الرابط من هنا
التطبيق الثالث : الرابط من هنا
التطبيق الرابع : الرابط من هنا
ملخص رسالة الإحتيال هذه بأن الجهة وراء هذه العملية تسعى لخداع و اختراق الضحايا بالعديد من الطرق وهي :
– الربح المادي منهم وذلك بتحويلهم الى روابط مختصرة لظهور الإعلانات.
– خداعهم بجعلهم يشتركون في خدمات رسائل قصيرة SMS ووسائط متعددة MMS.
– خداعهم بجعلهم يقومون بتحميل تطبيقات خبيثة الهدف منها اختراقهم و تجاوز خصوصيتهم و الربح المالي منهم.
قبل أن اشرع في كتابة هذا المقال أرسل لي صديق رسالة يخبرني فيها بتحليل رابط وصله على تطبيق الـ WhatsApp لذا طلبت منه أن يرسل لي صورة من الرسالة وهذا ما كان (الصورة رقم 25 تبين شكل رسالة الإحتيال).
بعد أن قمت بتحليل الرابط وجدت بأنه وبعد زيارته يقوم بعمل استبيان للمستخدم وبعد اجراء الإستبيان (الوهمي) يظهر لك بأنك قد ربحت بطاقة شراءة بمبلغ كبير (في الاردن 500 دينار من شركة ikea) وللحصول عليه يجب ان تقوم بارسال الرابط لصديق وبعدها يمكنك الإكمال.
بعد ارسال الرابط والنقر على زر Continue سيظهر نموذج يطلب منك بياناتك الشخصية مثل الإسم و البريد الإلكتروني ويقوم الموقع بتخزينها في قاعدة بياناته ومن ثم يقوم بنفس الأمور السابقة والتي ذكرناها في المثال الأول بحيث يظهر الإعلانات و يظهر لك رسائل بضرورة تحميل تطبيق على الجهاز وغيرها.
الملفت بأن عينات التطبيقات الخبيثة تشابهت مع العينات في المثال الأول مما يؤكد بأن الجهة واحدة وراء الحملتين.
ملخص رسالة الإحتيال هذه بأن الجهة وراء هذه العملية تسعى لخداع و اختراق الضحايا بالعديد من الطرق وهي :
– الربح المادي منهم وذلك بتحويلهم الى روابط اعلانية.
– سحب بياناتهم الشخصية لإستخدامها في الإعلانات عبر البريد الإلكتروني او لإستخدامها في رسائل التصيد.
– خداعهم بجعلهم يقومون بتحميل تطبيقات خبيثة الهدف منها اختراقهم و تجاوز خصوصيتهم و الربح المالي منهم.
– كيف تحمي نفسك؟
بعد أن تعرفنا على بعض الطرق و الامثلة لطرق الإختراق والخداع على تطبيق الـ WhatsApp دعونا نتحدث عن كيفية حماية أنفسكم من مثل هذه الأنواع من أنواع الهجمات :
– بدايةً يجب عليكم أن تقوموا بتنصيب برنامج مكافح فايروسات و برامج خبيثة. و هنالك العديد من هذه التطبيقات على متجر Google Play والتي تعتبر مجانية. حيث ان العديد من التطبيقات الخبيثة يتم التقاطها من قبل مكافحات الفايروسات.
– يجب عليكم أيضا ان تكونوا على علم بأي جديد حول الطرق الجديدة التي يتم من خلالها استهداف الاشخاص عبر الإنترنت وذلك بقراءة و متابعة الأخبار الأمنية بشكل مستمر ويومي.
– يجب عليكم تحديث نظام التشغيل على أجهزتكم وذلك لأنه يتم بشكل مستمر اكتشاف ثغرات أمنية على هذه لأنظمة تتيح للمخترقين اختراقك. فتقوم عملية التحديث لجهازك بإصلاح هذه الثغرات.
– لا تقم بزيارة اي رابط يصلك من شخص مشبوه او حتى صديق و لا تنجر للفضول لأنه سلاح ذو حدين يمكن أن يؤدي الى اختراقك و استغلال الآخرين لك.
– وقعت ضحية لهذه الرسالة فماذا أفعل؟
اذا كنت قد وقعت ضحية لرسالة الإحتيال هذه فيمكنك عمل اعادة ضبط المصنع للجهاز الخاص بك ولكن يمكن ان لا تكون هذه الأمور كافية حيث أن بعض البرامج الخبيثة تقوم بالكتابة على جزء من وحدة التخزين للجهاز الذكي وهي (/system) وهذه الوحدة لا تتأثر بعملية اعادة ضبط المصنع. وبما أننا لم ننتهي الى الآن من تحليل هذه التطبيقات والتي سنخصص موضوع لها قريباً بعد الإنتهاء من عملية تحليلها. لذا ننصحكم بأن تقوموا بعمل نسخة احتياطية من البيانات الهامة على الجهاز وبعدها تقوموا بعمل اعادة تحميل و تنزيل للـ ROM التي توفرها الشركة المصنعة لجهازك الذكي.
– هل تطبيق WhatsApp يحافظ على خصوصيتي؟
هنالك منظمة عالمية غير ربحية مقرها في أمريكا تسمى “مؤسسة الحدود الإلكترونية” معنية بالحقوق الرقمية والتي يقوم نشاطها في عدة أشكال مختلفة. فقد توفر تمويلاً للدفاع عن أفراد أو تقنيات جديدة من الناحية القانونية في المحاكم، أو ضد ما تعتبره أخطار شرعية تجاه الأفراد أو التقنيات الجديدة، بالإضافة إلى نشاطها في فضح وتتبع أفعال الحكومات المنافية للقوانين والأعراف الدولية، وتعمل المؤسسة أيضاً على تشغيل وصيانة عدة مواقع وقواعد بيانات متعلقة بالحقوق الرقمية وحماية الخصوصية، علاوة على أنها تراقب وتقف أمام التشريعات المحتملة التي قد تتعدى الحريات الشخصية أو الاستعمال العادل (هذه الفقرة مأخوذة مع بعض التعديل من موقع ويكيبيديا).
تقوم هذه المنظمة ايضاً بوضع معايير لتحديد امن تطبيقات التراسل السريع و التي تعتمد على عدة معايير وهي :
1- هل تقوم هذه التطبيقات بتشفير الإتصالات؟
2- هل الشركة المطورة للتطبيق لا تمتلك مفتاح تشفير بيانات المستخدم على التطبيق ؟
3- هل يقوم التطبيق بالتحقق من هوية المتصلين بك؟
4- هل المراسلات السابقة في مأمن اذا تم سرقة مفتاح التشفير؟
5- هل الشفرة المصدرية الخاصة بالتطبيقات مفتوحة للمراجعة من طرف مستقل؟
6- هل تم توثيق خوارزمية التشفير بشكل جيد؟
7- التأكد من انه قد تم توثيق وتدقيق تصميم البرنامج من قبل شركات أمنية؟
حسب هذه المعايير فإن تطبيق الـ WhatsApp لم يحقق سوى معيارين من هذه المعايير السبعة وهما أول وآخر معيار أما باقي المعايير فلم يحققها هو وغيره الكثير من التطبيقات المشهورة!! لذا نقترح عليكم بعض التطبيقات التي حققت جميع المعايير لسبعة السابقة مثل :
– TextSecure
– SilentText
– Silent Phone
– Signal / Red Phone
الى هنا نكون قد انتهينا من هذا الموضوع والذي نتمنى بأن يكون أضاف اليكم معلومات جديدة. تابعونا قريباً في موضوع جديد بعون الله تعالى
منقول من موقع تكناوي
الى هنا انتهى شرحي اترككم في رعاية الله وحفضه
لا تنسى اضغط متابعة لكي يصلك كل جديد