RaazNet

رازنتبتا

دانشنامه
در این صفحه

مبانی بدافزار و مهندسی اجتماعی

راهنمای پایه‌ای درک نحوه استفاده از نرم‌افزارهای مخرب و دست‌کاری روان‌شناختی برای به خطر انداختن کاربران ایرانی، شامل جاسوس‌افزار، فیشینگ و تهدیدات دولتی.

Time

مبانی بدافزار و مهندسی اجتماعی

مقدمه

در حالی که ترس اصلی کاربران در سطح جهانی عمدتاً کلاهبرداری‌های مالی است، شهروندان، فعالان و روزنامه‌نگاران ایرانی با خطراتی نظیر نظارت دولتی، بازداشت و سرکوب فیزیکی مواجه هستند.

مهاجمان—چه مجرمان سایبری و چه عوامل دولتی مانند سپاه پاسداران یا وزارت اطلاعات—به‌ندرت سیستم‌ها را صرفاً با "هک کردن" و زور آزمایی (Brute Force) مورد نفوذ قرار می‌دهند. در عوض، آن‌ها بر دو ستون اصلی تکیه می‌کنند:

  1. مهندسی اجتماعی (Social Engineering): دستکاری عامل انسانی برای افشای داوطلبانه اطلاعات یا اعطای دسترسی.
  2. بدافزار (Malware): نرم‌افزارهای مخربی که برای نفوذ به دستگاه‌ها جهت نظارت بر فعالیت‌ها، سرقت داده‌ها یا آسیب رساندن به سیستم‌ها طراحی شده‌اند.

درک این مبانی، خط مقدم دفاع در برابر اکوسیستم جاسوسی الکترونیکی جمهوری اسلامی است.

مهندسی اجتماعی: هک کردن انسان

مهندسی اجتماعی از روانشناسی انسان—ترس، کنجکاوی، عجله یا اعتماد—برای دور زدن تدابیر امنیتی فنی سوءاستفاده می‌کند. در ایران، این حملات کاملاً بومی‌سازی شده‌اند تا خدمات دولتی یا اعضای مورد اعتماد جامعه را شبیه‌سازی کنند.

بردارهای رایج مهندسی اجتماعی

۱. فیشینگ و "اس‌میشینگ" (فیشینگ پیامکی)

فیشینگ شامل ارسال ارتباطات جعلی است که به نظر می‌رسد از یک منبع معتبر ارسال شده‌اند.

  • کلاهبرداری "سامانه ثنا" (عدالت): یک حمله بسیار رایج در ایران که شامل دریافت پیامکی با ادعای ثبت شکایت علیه شما در سامانه قضایی (ثنا) است. این پیام حاوی لینکی به یک وب‌سایت جعلی است که برای "مشاهده شکواییه" درخواست مبلغی ناچیز یا نصب یک نرم‌افزار را دارد. این کار منجر به نصب بدافزار یا سرقت اطلاعات بانکی می‌شود.
  • وی‌پی‌ان‌ها و فیلترشکن‌های جعلی: با توجه به سانسور شدید اینترنت، کاربران به شدت به دنبال ابزارهای دور زدن فیلترینگ هستند. مهاجمان لینک‌هایی را برای دانلود وی‌پی‌ان‌های "اختصاصی" یا "پرسرعت" در کانال‌های تلگرامی منتشر می‌کنند. این فایل‌ها اغلب جاسوس‌افزار هستند.

۲. سناریوسازی (Pretexting) و جعل هویت

مهاجمان یک سناریوی ساختگی (بهانه) ایجاد می‌کنند تا اطلاعات را به سرقت ببرند.

  • تکنیک‌های بازجویی: ماموران اطلاعاتی ممکن است تلفن یک بازداشتی را ضبط کرده و به مخاطبان او در سیگنال یا تلگرام پیام دهند و با جا زدن خود به جای قربانی، شبکه اجتماعی او را شناسایی کنند.
  • پشتیبانی فنی جعلی: دشمنان ممکن است خود را به عنوان کارکنان پشتیبانی پلتفرم‌هایی مانند تلگرام یا اینستاگرام جا بزنند و به بهانه "تأیید هویت"، کدهای تایید دو مرحله‌ای (2FA) را درخواست کنند.

۳. کلاهبرداری تقویت‌شده با هوش مصنوعی

از سال ۲۰۲۶، استفاده از هوش مصنوعی در مهندسی اجتماعی افزایش یافته است.

  • دیپ‌فیک (Deepfake) و شبیه‌سازی صدا: مهاجمان می‌توانند صدای یک مخاطب مورد اعتماد (مانند عضوی از خانواده یا یک همکار فعال) را شبیه‌سازی کنند تا از طریق پیام‌های صوتی درخواست انتقال فوری پول یا اطلاعات حساس کنند.
  • فیشینگ تولید شده با AI: ابزارهای هوش مصنوعی برای نوشتن ایمیل‌های فیشینگ با گرامر بی‌نقص و محتوای دقیق به زبان فارسی استفاده می‌شوند که تشخیص آن‌ها را نسبت به تلاش‌های قبلی (که پر از غلط بودند) دشوارتر می‌کند.

۴. سیم‌سواپ (تعویض سیم‌کارت)

این یک تهدید حیاتی در ایران است، جایی که اپراتورهای مخابراتی (همراه اول، ایرانسل، رایتل) به شدت تحت نظارت یا متعلق به نهادهای وابسته به دولت هستند.

  • مکانیسم: مهاجم (یا دولت) اپراتور موبایل را متقاعد می‌کند (یا دستور می‌دهد) که شماره تلفن شما را به یک سیم‌کارت جدید که در اختیار آن‌هاست، منتقل کند.
  • تاثیر: آن‌ها کدهای پیامکی تایید دو مرحله‌ای (SMS 2FA) شما را دریافت می‌کنند و این اجازه را می‌دهد که اکانت‌های تلگرام، اینستاگرام یا ایمیل شما را سرقت کنند.
  • دفاع: هرگز برای تایید دو مرحله‌ای به SMS تکیه نکنید. از اپلیکیشن‌های احراز هویت (TOTP) مانند Google Authenticator یا Raaz، یا کلیدهای سخت‌افزاری (YubiKey) استفاده کنید.

بدافزار: ناظر خاموش

بدافزار (Malware) شامل ویروس‌ها، کرم‌ها، تروجان‌ها، باج‌افزارها و جاسوس‌افزارها می‌شود. برای مخاطبان "رازنت"، جاسوس‌افزارها (Spyware) و تروجان‌های دسترسی از راه دور (RATs) نگرانی‌های اصلی هستند.

انواع تهدیدات بدافزاری

۱. جاسوس‌افزارهای اجاره‌ای پیشرفته (پگاسوس، پردیتور)

بازیگران دولتی جاسوس‌افزارهای پیچیده "بدون کلیک" (Zero-click) را از فروشندگان بین‌المللی خریداری می‌کنند.

  • قابلیت‌ها: این ابزارها می‌توانند بدون اینکه کاربر روی لینکی کلیک کند (مثلاً از طریق یک تماس بی‌پاسخ واتس‌اپ یا iMessage) دستگاه را آلوده کنند. پس از آلودگی، مهاجم دسترسی کامل به میکروفون، دوربین، عکس‌ها و پیام‌های رمزگذاری شده دارد.
  • هدف‌گیری: به دلیل هزینه بالای اجرا، معمولاً برای اهداف با ارزش بالا (وکلا، فعالان برجسته) رزرو می‌شود.

۲. جاسوس‌افزارهای کالایی و استاکر‌افزارها (Stalkerware)

بدافزارهای کم‌پیچیده‌تر اما پرکاربرد که اغلب در قالب اپلیکیشن‌های قانونی پنهان می‌شوند.

  • کلاینت‌های غیررسمی تلگرام: اپلیکیشن‌هایی مانند "تلگرام طلایی"، "موبوگرام" یا نسخه‌های عمومی "تلگرام ضد فیلتر" اغلب حاوی درپشتی (Backdoor) هستند که به توسعه‌دهندگان (و نهادهای دولتی) اجازه خواندن چت‌ها را می‌دهند.
  • تزریق رت/تروجان: بدافزارهای پنهان شده در نرم‌افزارهای کرک شده، بازی‌های قفل‌شکسته یا اسناد PDF ارسال شده از طریق ایمیل.

۳. اسکیمرهای وب (Web Skimmers) و دانلودهای ناخواسته (Drive-By)

کدهای مخرب جاسازی شده در وب‌سایت‌های آلوده.

  • ریسک: بازدید از یک سایت خرید آلوده یا یک پورتال دولتی جعلی می‌تواند منجر به دانلود کدهای مخرب یا سرقت داده‌های ورودی (شماره کارت اعتباری، رمز عبور) شود.

چرخه حیات حمله ترکیبی

حملات اغلب ترکیبی از مهندسی اجتماعی و بدافزار هستند. یک زنجیره حمله معمولی علیه یک کاربر ایرانی ممکن است به این صورت باشد:

  1. شناسایی (Reconnaissance): مهاجم داده‌هایی را از شبکه‌های اجتماعی عمومی (OSINT) جمع‌آوری می‌کند تا علایق یا ترس‌های هدف را شناسایی کند.
  2. قلاب (مهندسی اجتماعی): هدف یک پیام واتس‌اپ از یک "روزنامه‌نگار" (جعل هویت) دریافت می‌کند که فایلی مرتبط با اعتراضات اخیر ارائه می‌دهد.
  3. بار مخرب (Malware Payload): هدف فایل ضمیمه (مثلاً report.pdf.exe یا یک سند ورد مخرب) را باز می‌کند، با این باور که امن است.
  4. بهره‌برداری (Exploitation): فایل کدی را اجرا می‌کند که از یک آسیب‌پذیری اصلاح‌نشده در سیستم‌عامل سوءاستفاده می‌کند.
  5. نصب: یک RAT نصب می‌شود و ارتباطی را با سرور فرمان و کنترل (C2) مهاجم برقرار می‌کند.
  6. اقدام روی اهداف: مهاجم لیست مخاطبین را استخراج می‌کند، میکروفون را روشن می‌کند و از چت‌های رمزگذاری شده اسکرین‌شات می‌گیرد.

استراتژی‌های دفاعی اصلی

اقدامات فنی دقیق در راهنماهای امنیت دسکتاپ و موبایل پوشش داده شده‌اند، اما این اصول بنیادی به صورت جهانی کاربرد دارند.

۱. ذهنیت اعتماد صفر (Zero Trust)

فرض کنید لینک‌ها مخرب و هویت‌ها جعلی هستند مگر اینکه خلاف آن ثابت شود.

  • تایید از کانال دیگر (Out-of-Band): اگر دوستی از طریق متن درخواست اطلاعات حساس یا پول کرد، با او تماس بگیرید (صوتی/تصویری) تا تایید کنید.
  • بررسی URLها: نام دامنه‌ها را با دقت بخوانید (مثلاً مطمئن شوید shaparak.ir است و نه shapaarak.ir).

۲. بخش‌بندی و محدودسازی (Compartmentalization)

در صورت به خطر افتادن یک دستگاه یا حساب کاربری، آسیب را محدود کنید.

  • هویت‌های جداگانه: از نام یا عکس واقعی خود در حساب‌های تلگرام/توییتر که برای فعالیت‌های سیاسی استفاده می‌کنید، استفاده نکنید.
  • ایزولاسیون دستگاه: در صورت امکان، از یک گوشی جداگانه و "پاک" برای ارتباطات حساس استفاده کنید که حاوی اطلاعات زندگی شخصی نباشد.

۳. تایید و به‌روزرسانی

  • بهداشت نرم‌افزاری: سیستم‌عامل‌ها (اندروید، iOS، ویندوز) را کاملاً به‌روز نگه دارید. آپدیت‌ها اغلب حفره‌های امنیتی که بدافزارها برای ورود استفاده می‌کنند را می‌بندند.
  • منابع اپلیکیشن: فقط اپلیکیشن‌ها را از گوگل پلی استور یا اپ استور اپل نصب کنید. از دانلود مستقیم APK از کانال‌های تلگرام خودداری کنید.

۴. حالت‌های قرنطینه (Lockdown Modes)

برای کاربران در معرض خطر بالا، فعال‌سازی Lockdown Mode (در iOS) یا Advanced Protection (در اندروید) سطح حمله را با مسدود کردن فناوری‌های پیچیده وب و ضمیمه‌های ناخواسته که حامل بدافزار هستند، به شدت کاهش می‌دهد.

بخش‌های مرتبط ویکی

  • [[Countering_Social_Engineering_Phishing_and_Scams]]: مراحل دقیق برای تشخیص دیپ‌فیک‌ها، ایمن‌سازی حساب‌ها و مقابله با کلاهبرداری‌های "ثنا".
  • [[Mobile_Security_Spyware_and_Advanced_Protections]]: مقاوم‌سازی اندروید/iOS، استفاده از MVT (جعبه ابزار تایید موبایل) و دفاع در برابر پگاسوس.
  • [[Desktop_OS_Hardening_and_Malware_Prevention]]: ایمن‌سازی محیط‌های ویندوز و لینوکس در برابر بدافزار.
  • [[Incident_Response_and_System_Recovery]]: اقداماتی که باید در صورت شک به آلودگی دستگاه انجام دهید.
منبع:
Edit

آیا این مقاله مفید بود؟

بازخورد شما به بهبود محتوای ویکی کمک می‌کند.