O nouă campanie de phishing direcționată, desfășurată prin WhatsApp, a vizat recent persoane implicate în activități legate de Iran. Printre țintele vizate s-a aflat și activista iraniano-britanică Nariman Gharib, cunoscută pentru implicarea sa în susținerea drepturilor omului și pentru sprijinul acordat protestatarilor iranieni.
Atacuri sofisticate în contextul protestelor și blocajelor de internet
Aceste atacuri cibernetice au avut loc pe fondul protestelor intense din Iran și a restricțiilor severe impuse de autorități asupra accesului la internet. Utilizând WhatsApp — una dintre puținele platforme de comunicare care mai funcționează în astfel de condiții — atacatorii au încercat să obțină acces la datele personale ale victimelor.
Metodele de phishing identificate au inclus pagini false de autentificare Gmail, proceduri de conectare WhatsApp bazate pe scanarea codurilor QR, dar și mesaje ce solicitau acordarea permisiunii pentru locație sau acces la camerele și microfoanele dispozitivelor. Prin aceste tehnici, atacatorii au urmărit să sustragă date sensibile precum parole, coduri de autentificare în doi pași, locația utilizatorului, fotografii și fișiere audio.
Numeroase date expuse și victime de notorietate
Conform unei analize publicate de TechCrunch, serverul utilizat de atacatori ar fi lăsat expuse peste 850 de înregistrări cu date precum nume de utilizator, parole, coduri 2FA și informații despre dispozitivele compromise. Deși baza de date colectată este largă, experții estimează că sub 50 de persoane au căzut efectiv victimele compromise ale atacului. Printre acestea se regăsesc un academic, un director al unei companii israeliene de drone, un ministru din cabinetul libanez și cel puțin un jurnalist.
Infrastructura tehnică folosită a implicat platforma DuckDNS și o serie de domenii web create special între august și noiembrie 2025, printre care alex-fabow.online, toate menite să ofere un grad ridicat de anonimitate.
Cine se află în spatele atacului?
Până în prezent, autorii atacului nu au putut fi identificați cu certitudine. Unii cercetători spun că modul de operare poartă caracteristicile unui atac orchestrat de Gărzile Revoluționare Iraniene (IRGC), însă există și opinii potrivit cărora ar putea exista motive financiare la mijloc, dincolo de interesele statului iranian.
Indiferent de originea acestuia, incidentul pune din nou pe tapet vulnerabilitatea activiștilor, a jurnaliștilor și a altor persoane implicate în probleme sensibile din regiune, mai ales atunci când comunicarea securizată devine esențială în contextul cenzurii și supravegherii tot mai stricte.