یک روز عادی بود که جی گیبسون یک اعلان غیرمنتظره در آیفون خود دریافت کرد. در این پیام آمده بود: «اپل حمله جاسوس‌افزار مزدور هدفمند به آیفون شما را شناسایی کرده است.»

به طرز کنایه‌آمیزی، گیبسون قبلاً در شرکت‌هایی کار می‌کرد که دقیقاً همان نوع جاسوس‌افزار را توسعه می‌دادند که می‌توانست چنین اعلانی را ایجاد کند. با این حال، او از اینکه چنین اعلانی را روی تلفن خودش دریافت کرده بود، شوکه شد. او با پدرش تماس گرفت، تلفنش را خاموش کرد و کنار گذاشت و رفت یک گوشی جدید بخرد.

او به تک‌کرانچ گفت: «وحشت کرده بودم. اوضاع به‌هم ریخته بود. اوضاع خیلی به‌هم ریخته بود.»

گیبسون تنها یکی از تعداد فزاینده افرادی است که از شرکت‌هایی مانند اپل، گوگل و واتس‌اپ اعلان دریافت می‌کنند؛ همگی این شرکت‌ها هشدارهای مشابهی درباره حملات جاسوس‌افزار به کاربران خود ارسال می‌کنند. شرکت‌های فناوری به‌طور فزاینده‌ای در هشدار دادن به کاربران خود در صورت هدف قرار گرفتن توسط هکرهای دولتی، و به‌ویژه کسانی که از جاسوس‌افزارهای ساخته شده توسط شرکت‌هایی مانند اینتلکسا، گروه ان‌اس‌او و پاراگون سلوشنز استفاده می‌کنند، فعالانه عمل می‌کنند.

اما در حالی که اپل، گوگل و واتس‌اپ هشدار می‌دهند، در اتفاقات بعدی دخالت نمی‌کنند. شرکت‌های فناوری کاربران خود را به افرادی که می‌توانند کمک کنند، ارجاع می‌دهند، اما در این نقطه شرکت‌ها کنار می‌کشند.

این اتفاقی است که وقتی یکی از این هشدارها را دریافت می‌کنید، می‌افتد.

هشدار

شما اعلانی دریافت کرده‌اید که هدف هکرهای دولتی بوده‌اید. حالا چکار باید بکنید؟

اول از همه، آن را جدی بگیرید. این شرکت‌ها حجم عظیمی از داده‌های تله‌متری درباره کاربران خود و اتفاقاتی که در دستگاه‌ها و حساب‌های آنلاینشان می‌افتد، دارند. این غول‌های فناوری تیم‌های امنیتی دارند که سال‌هاست در حال شکار، مطالعه و تجزیه و تحلیل این نوع فعالیت‌های مخرب هستند. اگر آن‌ها فکر می‌کنند که شما هدف قرار گرفته‌اید، احتمالاً درست می‌گویند.

مهم است که توجه داشته باشید در مورد اعلان‌های اپل و واتس‌اپ، دریافت یکی از آن‌ها به این معنی نیست که لزوماً هک شده‌اید. ممکن است تلاش هک ناموفق بوده باشد، اما آن‌ها همچنان می‌توانند به شما بگویند که کسی تلاش کرده است.

عکسی که متن یک اعلان تهدید را که اپل به قربانی مشکوک به جاسوس‌افزار ارسال کرده است، نشان می‌دهد (تصویر: عمر مارکز/گتی ایمیجز)

در مورد گوگل، به احتمال زیاد این شرکت حمله را مسدود کرده است و به شما اطلاع می‌دهد تا بتوانید وارد حساب خود شوید و مطمئن شوید که احراز هویت چند عاملی (ترجیحاً یک کلید امنیتی فیزیکی یا کلید عبور) را فعال کرده‌اید و همچنین برنامه حفاظت پیشرفته آن را فعال کنید، که همچنین به کلید امنیتی نیاز دارد و لایه‌های امنیتی دیگری را به حساب گوگل شما اضافه می‌کند. به عبارت دیگر، گوگل به شما می‌گوید که چگونه در آینده بهتر از خود محافظت کنید.

در اکوسیستم اپل، باید حالت قفل‌گشایی (Lockdown Mode) را فعال کنید، که مجموعه‌ای از ویژگی‌های امنیتی را فعال می‌کند که هدف قرار دادن دستگاه‌های اپل شما را برای هکرها دشوارتر می‌کند. اپل مدت‌هاست ادعا می‌کند که هرگز هک موفقی را علیه کاربری که حالت قفل‌گشایی فعال داشته، مشاهده نکرده است، اما هیچ سیستمی کامل نیست.

محمد المسکاتی، مدیر خط کمک امنیتی دیجیتال اکسس‌نا (Access Now)، که یک تیم جهانی ۲۴/۷ از کارشناسان امنیتی است که موارد جاسوس‌افزار علیه اعضای جامعه مدنی را بررسی می‌کنند، توصیه‌هایی را که این خط کمک به افرادی که نگران هدف قرار گرفتن با جاسوس‌افزار دولتی هستند، با تک‌کرانچ به اشتراک گذاشت.

این توصیه‌ها شامل به‌روز نگه داشتن سیستم‌عامل‌ها و برنامه‌های دستگاه‌های شما؛ فعال کردن حالت قفل‌گشایی اپل، و حفاظت پیشرفته گوگل (برای حساب‌ها و برای دستگاه‌های اندرویدی)؛ مراقب بودن با لینک‌ها و پیوست‌های مشکوک؛ راه‌اندازی مجدد منظم تلفن خود؛ و توجه به تغییرات در نحوه عملکرد دستگاهتان است.

با ما تماس بگیرید

آیا اعلانی از اپل، گوگل یا واتس‌اپ مبنی بر هدف قرار گرفتن با جاسوس‌افزار دریافت کرده‌اید؟ یا اطلاعاتی درباره سازندگان جاسوس‌افزار دارید؟ دوست داریم از شما بشنویم. از یک دستگاه غیرکاری، می‌توانید با لورنزو فرانچسکی-بیچیارای به‌صورت امن در سیگنال به شماره +1 917 257 1382، یا از طریق تلگرام و کی‌بیس @lorenzofb، یا ایمیل تماس بگیرید.

درخواست کمک

اتفاقات بعدی بستگی به این دارد که به چه کسی مراجعه می‌کنید.

ابزارهای متن‌باز و قابل دانلود وجود دارند که هر کسی می‌تواند از آن‌ها برای شناسایی حملات مشکوک جاسوس‌افزار به دستگاه‌های خود استفاده کند، که نیازمند دانش فنی کمی است. شما می‌توانید از ابزار تأیید موبایل (Mobile Verification Toolkit)، یا MVT، استفاده کنید؛ ابزاری که به شما امکان می‌دهد ردپاهای پزشکی قانونی یک حمله را خودتان جستجو کنید، شاید به عنوان اولین قدم قبل از جستجوی کمک.

اگر نمی‌خواهید یا نمی‌توانید از MVT استفاده کنید، می‌توانید مستقیماً به سراغ کسی بروید که می‌تواند کمک کند. اگر شما یک روزنامه‌نگار، مخالف، دانشگاهی یا فعال حقوق بشر هستید، سازمان‌های معدودی وجود دارند که می‌توانند کمک کنند.

می‌توانید به اکسس‌نا و خط کمک امنیتی دیجیتال آن مراجعه کنید. همچنین می‌توانید با عفو بین‌الملل تماس بگیرید که تیم تحقیقاتی خود را دارد و تجربه فراوانی در این پرونده‌ها دارد. یا می‌توانید با آزمایشگاه شهروند، یک گروه حقوق دیجیتال در دانشگاه تورنتو، که تقریباً ۱۵ سال است در حال تحقیق درباره سوءاستفاده از جاسوس‌افزار است، تماس بگیرید.

اگر روزنامه‌نگار هستید، گزارشگران بدون مرز نیز آزمایشگاه امنیت دیجیتال دارد که برای تحقیق در مورد موارد مشکوک هک و نظارت ارائه می‌دهد.

خارج از این دسته‌بندی افراد، سیاستمداران یا مدیران اجرایی کسب‌وکار، برای مثال، باید به جای دیگری مراجعه کنند.

اگر برای یک شرکت بزرگ یا حزب سیاسی کار می‌کنید، احتمالاً تیم امنیتی شایسته‌ای (امیدوارم!) دارید که می‌توانید مستقیماً به آن‌ها مراجعه کنید. آن‌ها ممکن است دانش خاصی برای تحقیق عمیق نداشته باشند، اما در این صورت احتمالاً می‌دانند به چه کسی مراجعه کنند، حتی اگر اکسس‌نا، عفو بین‌الملل و آزمایشگاه شهروند نتوانند به کسانی خارج از جامعه مدنی کمک کنند.

در غیر این صورت، مکان‌های زیادی برای مدیران اجرایی یا سیاستمداران وجود ندارد که بتوانید به آن‌ها مراجعه کنید، اما ما پرس‌وجو کرده‌ایم و موارد زیر را پیدا کرده‌ایم. ما نمی‌توانیم این سازمان‌ها را به‌طور کامل تأیید کنیم، و همچنین آن‌ها را مستقیماً تأیید نمی‌کنیم، اما بر اساس پیشنهاد افراد مورد اعتماد ما، ارزش اشاره کردن را دارند.

شاید شناخته‌شده‌ترین این شرکت‌های امنیتی خصوصی iVerify باشد که برنامه‌ای برای اندروید و iOS می‌سازد و همچنین گزینه‌ای برای درخواست تحقیق پزشکی قانونی عمیق به کاربران می‌دهد.

مت میچل، یک کارشناس امنیتی مورد احترام که به جمعیت‌های آسیب‌پذیر در محافظت از خود در برابر نظارت کمک می‌کند، استارتاپ جدیدی به نام Safety Sync Group دارد که این نوع خدمات را ارائه می‌دهد.

جسیکا هاید، یک محقق پزشکی قانونی با تجربه در بخش‌های دولتی و خصوصی، استارتاپ خود را به نام Hexordia دارد و برای تحقیق در مورد هک‌های مشکوک ارائه می‌دهد.

شرکت امنیت سایبری موبایل Lookout، که تجربه تجزیه و تحلیل جاسوس‌افزارهای دولتی از سراسر جهان را دارد، فرم آنلاینی دارد که به افراد اجازه می‌دهد برای کمک به تحقیق در مورد حملات سایبری شامل بدافزار، نفوذ به دستگاه و موارد دیگر، تماس بگیرند. تیم‌های اطلاعات تهدید و پزشکی قانونی این شرکت ممکن است سپس درگیر شوند.

سپس، کاستین رایو وجود دارد که ریاست TLPBLACK را بر عهده دارد، یک تیم کوچک از محققان امنیتی که قبلاً در گروه تحقیقات و تجزیه و تحلیل جهانی کسپرسکی، یا GReAT، کار می‌کردند. رایو رئیس واحد بود که تیمش حملات سایبری پیچیده از تیم‌های نخبه هک دولتی از ایالات متحده، روسیه، ایران و سایر کشورها را کشف کرد. رایو به تک‌کرانچ گفت که افرادی که مشکوک به هک شدن هستند می‌توانند مستقیماً به او ایمیل بزنند.

تحقیق

اتفاقات بعدی بستگی به این دارد که برای کمک به چه کسی مراجعه می‌کنید.

به‌طور کلی، سازمانی که با آن تماس می‌گیرید ممکن است بخواهد یک بررسی اولیه پزشکی قانونی انجام دهد با نگاه کردن به یک فایل گزارش تشخیصی که می‌توانید در دستگاه خود ایجاد کنید و از راه دور با محققان به اشتراک بگذارید. در این مرحله، این کار نیازی به تحویل دادن دستگاه شما به کسی ندارد.

این اولین قدم ممکن است بتواند نشانه‌های هدف‌گیری یا حتی آلودگی را تشخیص دهد. همچنین ممکن است هیچ نتیجه‌ای نداشته باشد. در هر دو صورت، محققان ممکن است بخواهند عمیق‌تر شوند، که نیازمند ارسال یک نسخه پشتیبان کامل از دستگاه شما، یا حتی خود دستگاهتان است. در آن مرحله، محققان کار خود را انجام خواهند داد، که ممکن است زمان‌بر باشد زیرا جاسوس‌افزارهای دولتی مدرن سعی در پنهان کردن و حذف ردپای خود دارند، و به شما خواهند گفت چه اتفاقی افتاده است.

متأسفانه، جاسوس‌افزارهای مدرن ممکن است هیچ ردی باقی نگذارند. modus operandi این روزها، طبق گفته حسن سلمی، که تیم پاسخ به حادثه را در خط کمک امنیتی دیجیتال اکسس‌نا رهبری می‌کند، یک استراتژی "ضربه و فرار" است، به این معنی که به محض اینکه جاسوس‌افزار دستگاه هدف را آلوده می‌کند، تا جایی که می‌تواند داده می‌دزدد، و سپس سعی می‌کند هر ردی را حذف کند و خود را حذف نصب کند. این فرض می‌شود که سازندگان جاسوس‌افزار سعی در محافظت از محصول خود و پنهان کردن فعالیت آن از محققان و پژوهشگران دارند.

اگر شما یک روزنامه‌نگار، مخالف، دانشگاهی، فعال حقوق بشر هستید، گروه‌هایی که به شما کمک می‌کنند ممکن است بپرسند که آیا می‌خواهید این واقعیت را که مورد حمله قرار گرفته‌اید، عمومی کنید، اما شما مجبور به انجام این کار نیستید. آن‌ها خوشحال خواهند شد که بدون اعتبار عمومی به شما کمک کنند. دلایل خوبی برای علنی کردن وجود دارد، هرچند: محکوم کردن این واقعیت که یک دولت شما را هدف قرار داده است، که ممکن است اثر جانبی هشدار دادن به دیگران مانند شما در مورد خطرات جاسوس‌افزار داشته باشد؛ یا افشای یک شرکت جاسوس‌افزار با نشان دادن اینکه مشتریانشان از فناوری آن‌ها سوءاستفاده می‌کنند.

امیدواریم هرگز یکی از این اعلان‌ها را دریافت نکنید. اما همچنین امیدواریم که اگر این اتفاق افتاد، این راهنما را مفید بیابید. مراقب باشید.