روز سهشنبه، نریمان غریب، فعال ایرانی مقیم بریتانیا، تصاویر سانسورشدهای از یک لینک فیشینگ را که از طریق پیام واتساپ برای او ارسال شده بود، در توییتر منتشر کرد.
غریب هشدار داد که نباید روی لینکهای مشکوک کلیک کرد. او که تحولات دیجیتال مرتبط با اعتراضات ایران را از خارج از کشور دنبال میکند، گفت این کارزار افرادی را هدف گرفته که در فعالیتهای مرتبط با ایران نقش دارند، از جمله خودش.
این حمله سایبری در حالی رخ داده که ایران با طولانیترین قطع سراسری اینترنت در تاریخ خود روبهرو است و همزمان اعتراضات ضدحکومتی و سرکوبهای خشونتآمیز در سراسر کشور ادامه دارد. با توجه به فعالیت گسترده ایران و رقبای نزدیکش در فضای تهاجمی سایبری، بررسی ابعاد این موضوع مورد توجه قرار گرفت.
غریب پس از انتشار توییت خود، لینک کامل فیشینگ را در اختیار تککرانچ گذاشت و امکان دسترسی به کد منبع صفحه فیشینگ مورد استفاده در این حمله را فراهم کرد. او همچنین گزارشی از یافتههای خود ارائه داد.
تککرانچ با بررسی کد منبع این صفحه و با کمک پژوهشگران امنیتی به این نتیجه رسید که هدف این کارزار، سرقت اطلاعات ورود به جیمیل و سایر حسابهای آنلاین، نفوذ به حسابهای واتساپ و انجام اقدامات نظارتی از طریق سرقت دادههای مکانی، عکسها و فایلهای صوتی بوده است.
با این حال مشخص نیست که عاملان این حمله وابسته به دولت، جاسوسان یا مجرمان سایبری بودهاند یا ترکیبی از هر سه.
تککرانچ همچنین به روشی دست یافت که امکان مشاهده زنده پاسخهای قربانیان ذخیرهشده روی سرور مهاجمان را فراهم میکرد؛ سروری که بدون رمز عبور در دسترس عموم قرار داشت. این دادهها نشان میدهد دهها نفر ناآگاهانه اطلاعات کاربری خود را در سایت فیشینگ وارد کردهاند و به احتمال زیاد حسابهایشان هک شده است.
در میان قربانیان، نام یک پژوهشگر خاورمیانهای فعال در حوزه امنیت ملی، مدیر یک شرکت اسرائیلی سازنده پهپاد، یک وزیر ارشد کابینه لبنان، دستکم یک روزنامهنگار و افرادی ساکن آمریکا یا دارای شماره تلفن آمریکایی دیده میشود.
