در ظاهر، همه‌چیز شبیه یک تماس رسانه‌ای معمولی شروع می‌شود: یک پیام محترمانه، یک شماره خارجی، تصویر پروفایل آشنا، نام یک سردبیر یا خبرنگار معتبر، و پیشنهادی برای مصاحبه یا نشست خبری. اما پشت این صحنه‌ی حرفه‌ای، روایتی دیگر در جریان است؛ روایتی که در آن «جلسه»، «دعوت‌نامه»، «گروه خصوصی» و حتی «کد ورود به نشست»، فقط اسم‌های قشنگی برای یک عملیات فیشینگ هدفمند هستند.

ایران‌اینترنشنال روز ۱۷ خرداد ۱۴۰۵ هشدار داد که حساب‌های جعلی به نام مدیران، خبرنگاران و تهیه‌کنندگان این شبکه ساخته شده‌اند و با روزنامه‌نگاران، کارشناسان، فعالان مدنی و مهمانان رسانه‌ها تماس گرفته‌اند. هدف، طبق این هشدار، ارسال درخواست‌های جعلی مصاحبه، لینک‌های آلوده، فایل‌های مشکوک و اجرای حملات فیشینگ برای سرقت اطلاعات حساس و دسترسی به حساب‌های کاربران بوده است.

چند روز بعد، روایت‌های روزنامه‌نگاران ایرانی در شبکه‌های اجتماعی نشان داد این هشدار فقط یک اطلاعیه عمومی نبوده؛ بلکه ماجرا وارد فاز عملیاتی شده بود. در هر دو روایت، الگوی حمله تقریباً یکسان است: جعل هویت رسانه‌ای، اعتمادسازی مرحله‌ای، فشار روانی، لینک جعلی و تلاش برای گرفتن کد ورود حساب.

سناریو اول: «آقای رمضان‌پور تماس گرفته‌اند»

مینا خانی، روزنامه‌نگار و فعال آزادی بیان، روایت می‌کند صبح همان روز، تلاشی برای هک او از طریق فریب تلفنی انجام شده؛ آن هم به نام اصغر رمضان‌پور، از چهره‌های رسانه‌ای ایران‌اینترنشنال. ماجرا برای او در ابتدا آن‌قدر عجیب نبود. خانی نوشته وقتی دید ظاهراً رمضان‌پور تماس گرفته، با خود فکر کرده شاید موضوع به نقدهای تند اخیرش نسبت به روش کار ایران‌اینترنشنال مربوط باشد. همین نقطه دقیقاً همان چیزی است که مهاجم روی آن حساب می‌کند: یک زمینه واقعی، یک اختلاف یا ارتباط قبلی، و یک احتمال قابل باور.

خانی ابتدا پاسخ می‌دهد «در خدمتم»، اما ادامه مکالمه با ویس، اصرار برای ورود به لینک، شماره‌ای از لندن و تصویری شبیه واتس‌اپ واقعی رمضان‌پور، ماجرا را مشکوک می‌کند. او به جای کلیک روی لینک، از مسیر مستقل راستی‌آزمایی می‌کند؛ با دوستی که شماره واقعی رمضان‌پور را دارد تماس می‌گیرد و بعد از خود او می‌شنود: «عملیات است.» همین‌جا حمله شکست می‌خورد؛ مهاجم روی عجله، کنجکاوی و اعتبار ظاهری سناریو حساب کرده بود، اما خانی متوجه فریب می‌شود و در پایان با پیامی تند، هم روش حمله را مسخره می‌کند و هم آن را به جمهوری اسلامی نسبت می‌دهد.

سناریو دوم: «کد ورود به نشست» یا کد ورود تلگرام؟

احمد باطبی، روزنامه‌نگار و فعال سیاسی، می‌گوید در روزهای اخیر هدف یک حمله سایبری هدفمند و حساب‌شده برای ربودن حساب تلگرامش قرار گرفته؛ حمله‌ای که هم‌زمان با هشدار ایران‌اینترنشنال درباره جعل هویت خبرنگاران طراحی شده بود.

باطبی می‌گوید در همان روزها فقط یک پیام مشکوک دریافت نکرده، بلکه چند تماس و پیام دیگر هم داشته؛ از جمله فردی که خود را از «فاکس نیوز» معرفی کرده و درخواست مصاحبه داده است. سناریوی اصلی با موضوع «کوی دانشگاه» شروع می‌شود و مهاجم با لحنی محترمانه، قربانی را وارد یک هماهنگی خبری ظاهراً حرفه‌ای می‌کند: یک نفر نقش معرف و هماهنگ‌کننده را دارد و نفر بعدی قرار است «سردبیر، آقای رمضان‌پور» باشد.

برای واقعی‌تر شدن صحنه، طبق روایت باطبی، دو فایل صوتی هم ارسال شده که او می‌گوید با هوش مصنوعی و به تقلید صدای رمضان‌پور ساخته شده بودند؛ نشانه‌ای از اینکه فیشینگ دیگر فقط لینک و متن نیست، بلکه می‌تواند با فضای رسانه‌ای جعلی، صدای آشنا و زنجیره‌ای ظاهراً معتبر همراه شود.

دامنه‌ای که شبیه تلگرام است، اما تلگرام نیست

در دو سناریویی که برای هر دو خبرنگار رخ داده، الگوی حمله از نظر تاکتیک، تکنیک و عملیات یا همان TTP بسیار شبیه است. در هر دو مورد، مهاجم به جای شروع با یک لینک خام، ابتدا یک سناریوی قابل‌باور ساخت: جعل هویت، گفت‌وگوی فوری، دعوت به یک فضای خصوصی و بعد ارسال لینکی که در نگاه اول شبیه دعوت‌نامه واقعی تلگرام به نظر می‌رسید.

در سطح تاکتیک، هدف اصلی دسترسی به حساب یا اطلاعات حساس از طریق مهندسی اجتماعی بود. در سطح تکنیک، مهاجمان از فیشینگ هدفمند، جعل دامنه با غلط‌نویسی یا Typosquatting استفاده کردند؛ نمونه‌هایی مانند private.teiegram.site که در نگاه عجولانه می‌تواند شبیه Telegram دیده شود. حتی پیش‌نمایش لینک با عنوان‌هایی مثل «Private Chat» طوری طراحی شده بود که در واتس‌اپ یا پیام‌رسان‌ها معتبرتر به نظر برسد؛ یعنی مهاجم فقط صفحه جعلی نساخته، بلکه ظاهر و ویترین لینک را هم طراحی کرده بود.

در سطح رویه عملیاتی، مهم‌ترین بخش حمله تغییر نام یک فرایند امنیتی بود: «کد ورود تلگرام» به «کد عضویت» یا «کد ورود به نشست» تبدیل می‌شد تا قربانی متوجه نشود در حال کمک به ورود مهاجم به حساب واقعی خود است. با این حال، شباهت این TTPها به‌تنهایی برای انتساب قطعی کافی نیست. فعلاً نمی‌توان گفت هر دو حمله کار یک گروه واحد بوده یا چند گروه مختلف از یک الگوی مشترک استفاده کرده‌اند؛ فقط می‌توان گفت مدل حمله در هر دو پرونده به‌طور معناداری مشابه بوده است.

کلودفلر، شماره‌های بریتانیایی و زیرساخت پنهان

باطبی می‌گوید مهاجمان تلاش کرده بودند خود و سرور اصلی‌شان را پشت کلودفلر (cloudflare) پنهان کنند تا ردیابی دشوارتر شود. استفاده از کلودفلر به‌خودی‌خود نشانه مجرمانه نیست؛ میلیون‌ها وب‌سایت عادی هم از آن استفاده می‌کنند. اما در کمپین‌های فیشینگ، پنهان‌کردن IP واقعی پشت سرویس‌های واسط می‌تواند بخشی از تلاش برای مخفی‌سازی زیرساخت باشد.

او همچنین می‌گوید آگاهانه با مهاجمان همراهی کرده تا آن‌ها را وادار کند لینک و بخشی از زیرساخت خود را رو کنند. طبق روایت او، دامنه تازه‌ثبت‌شده و ابزار سرقت حساب تلگرام به‌صورت بلادرنگ بخشی از یافته‌هایی بوده که مستند کرده، اما همه جزئیات را منتشر نکرده است. شماره‌های واتس‌اپی که در روایت باطبی آمده‌اند برای هشدار و تطبیق مفیدند، اما برای انتساب قطعی کافی نیستند. شماره‌ها می‌توانند اجاره‌ای، موقت، مجازی یا متعلق به زیرساخت واسطه باشند.

چرا این حمله‌ها مهم است؟

اهمیت این نمونه در این است که حمله فقط یک لینک فیشینگ ساده نیست. اینجا با یک نمایش چندپرده‌ای طرفیم: رسانه معتبر، اختلاف یا ارتباط واقعی، شماره خارجی، تصویر پروفایل آشنا، صدای احتمالی جعل‌شده، معرف، شخص اصلی، جلسه خصوصی، لینک شبیه تلگرام و در نهایت درخواست کد.

این همان مدل تازه‌تر فیشینگ هدفمند است: حمله به جای اینکه فقط به ناآگاهی فنی قربانی تکیه کند، روی روان‌شناسی، ایگو، عجله، اعتبار رسانه‌ای و اعتماد انسانی سرمایه‌گذاری می‌کند. مهاجم می‌داند روزنامه‌نگار، فعال یا کارشناس رسانه‌ای ممکن است درگیر مصاحبه، واکنش فوری، خبر داغ یا دعوای سیاسی باشد. پس حمله را دقیقاً در همان نقطه طراحی می‌کند.

مینا خانی در روایت خود به نکته‌ای مهم اشاره می‌کند: امنیت دیجیتال لطف نیست، وظیفه است. مخصوصاً برای کسانی که اطلاعات دیگران، منابع داخل ایران، فعالان یا افراد آسیب‌پذیر با آن‌ها در تماس‌اند. اشتباه یک نفر فقط حساب خودش را به خطر نمی‌اندازد؛ ممکن است زنجیره‌ای از افراد دیگر را هم لو بدهد.

قاعده دفاعی: هیچ کدی، هیچ‌جا

قاعده اصلی ساده است، اما باید بارها تکرار شود: کد ورود تلگرام، واتس‌اپ، سیگنال، ایمیل یا هر شبکه اجتماعی، هیچ‌وقت «کد جلسه»، «کد نشست»، «کد عضویت» یا «کد مصاحبه» نیست. این کد فقط باید در اپلیکیشن رسمی همان سرویس وارد شود.

اگر کسی خود را خبرنگار، تهیه‌کننده، سردبیر یا هماهنگ‌کننده مصاحبه معرفی کرد، هویتش را از مسیر مستقل راستی‌آزمایی کنید: ایمیل رسمی، وب‌سایت رسانه، شماره شناخته‌شده یا تماس جداگانه. به همان شماره‌ای که پیام داده اعتماد نکنید. به صدا هم به‌تنهایی اعتماد نکنید. صدای آشنا، تصویر آشنا و شماره خارجی، هیچ‌کدام سند اعتبار نیستند.

این پرونده یک هشدار روشن است: فیشینگ دیگر همیشه زشت، خام و پر از غلط املایی نیست. گاهی شیک است، رسانه‌ای است، صدا دارد، سناریو دارد، و حتی به ایگوی قربانی احترام می‌گذارد. دقیقاً به همین دلیل خطرناک‌تر است.