Iranian phishing on the rise as elections approach

Posted by on Jun 13, 2013 in Blog | 0 comments

From Google Security Blog: ( Source: )

For almost three weeks, we have detected and disrupted multiple email-based phishing campaigns aimed at compromising the accounts owned by tens of thousands of Iranian users. These campaigns, which originate from within Iran, represent a significant jump in the overall volume of phishing activity in the region. The timing and targeting of the campaigns suggest that the attacks are politically motivated in connection with the Iranian presidential election on Friday.

Our Chrome browser previously helped detect what appears to be the same group using SSL certificates to conduct attacks that targeted users within Iran. In this case, the phishing technique we detected is more routine: users receive an email containing a link to a web page that purports to provide a way to perform account maintenance. If the user clicks the link, they see a fake Google sign-in page that will steal their username and password.

Protecting our users’ accounts is one of our top priorities, so we notify targets of state-sponsored attacks and other suspicious activity, and we take other appropriate actions to limit the impact of these attacks on our users. Especially if you are in Iran, we encourage you totake extra steps to protect your account. Watching out for phishing, using a modern browser like Chrome and enabling 2-step verification can make you significantly more secure against these and many other types of attacks. Also, before typing your Google password, always verify that the URL in the address bar of your browser begins with If the website’s address does not match this text, please don’t enter your Google password.



 از وب لاگ امنیتی گوگل: ( منبع : )

در سه هفته گذشته شاهد اختلالات زیادی بر روی اکانت هایی جی میل ایرانیان بودیم. زمان و اهداف بروز این اختلالات که منبع آنها در ایران بود، نشانگر این است که دلیل این رویداد برگزاری انتخابات ریاست جمهوری در روز جمعه در ایران می باشد.

به کمک مرورگر کروم ، این گروه که با استفاده از گواهینامه های SSL کاربران در ایران را مورد هدف قرار داده اند شناسایی شدند. راه کار شناسایی شده این گروه، راهکاری بسیار متداول است، به این صورت که کاربران ایمیلی دریافت می کنند حاوی یک لینک که آنها را هدایت می کند به صفحه ای که در ظاهر برای انجام برخی تنظیمات اکانت آنها می باشد. اگر آنها بر روی لینک کلیک کنند صفحه ای تقلبی از گوگل برای آنها باز می شود که در آن از کاربر خواسته می شود که نام کاربری و رمز عبور خود را وارد نماید، که در صورت انجام این کار اطلاعات آنها هک می شود. حفاظت از اکانت کاربران یکی از بزگترین وظایف گوگل است، پس ما تمام تلاش خود را برای محدود کردن این گروه در دسترسی به اطلاعات کاربرانمان انجام می دهیم. خصوصا اگر در ایران هستید پیشنهاد ما به شما این است که برای حفاظت کامل از اکانت خود چند نکته را رعایت فرمایید : مراقب حملات فیشینگ باشید ، از مرورگر های پیشرفته مانند کروم استفاده نمایید، تایید نهایی دو مرحله ای اکانت خود را فعال نمایید. همچنین پیش از تایپ رمز عبور اکانت خود آدرس بار خود را با این آدرس مطابقت دهید و در صورت عدم تطابق از وارد کردن رمز عبور خودداری نمایید.

Read More

Latest Developments in the Iranian Internet Scene

Posted by on Jun 7, 2013 in Blog | 0 comments

Since March 7th 2013 when the Iranian telecomm authorities shut down the standard VPN protocols ( original link and update ), disabling the main technology of breaking into the Iranian online surveillance and censorship machine, it was apparent they are preparing for a record pressure on the network in Iran in the months and weeks towards the presidential elections being held on 14 June 2013.

The reason of course is the disputed presidential elections of 2009, when 2 presidential candidates and their supporters claimed a nation wide vote rigging and called for re-election. When their demands did not materialised, millions of people swarmed the street, social media exploded with traffic to the extent that twitter delayed maintenance to support Iranian protests. It resulted into heavy bandwidth throttling and multiple other disruptions, as the government tried to minimize the traffic in the international gateways but not cut it all the traffic together which makes even a bigger headline.

Many activists and citizen journalists faced serious new problems when they wanted to reach to social media or upload photos and short clips taken by their mobile phones. 4 years later and the Iranian government is not taking any chances. They ran a 3 days test in Feb 2012 to see the effect of VPN disruptions on the network, ISPs, etc. and serious stuff happened all around the country: Bank branch communications disrupted, ATMs stopped working, embassies in Tehran were cut off from the world, and after this wide implications nobody thought they will try to implement these restrictions countrywide and permanently. Earlier in FEB 2013 government officials announced VPN connections will be terminated soon and asked organizations using this system like the embassies, to go and register in a portal ( – which is not accessible in out of Iran ) and if qualified, get exempted from the new limitations. Then they pressed ahead systematically to close all the loopholes and circumvention technologies people used to access blocked websites and services. The timeline below shows the developments since october 2012:

  1. October 2nd: SSL closed on all ports except 443 so they can focus on DPI and throttling of SSL streams.
  2. October 7th: Heavy DPI and throttling began on SSL port 443
  3. March 7th: VPN protocols shut ( L2TP / PPTP )
  4. March 12th: SSTP was shut
  5. May 1st: OpenVPN which worked since new restrictions imposed, was shut
  6. May 6th: The new DPI rule in place: Any secure communications will be now terminated after 120 seconds
  7. May 8th: Kerio VPN was shut
  8. Later in May, other custom VPN protocols like Next VPN, SoftEther and VPN Gate were all closed by the authorities. They also continued their work on other circumvention tools like psiohone, freegate, and others and managed to shut nearly all of them.
  9. With the new 120 second restriction, practically only protocol which continues to work is SSL Proxy, as it uses SSL Bursts to the server
  10. May 10th: We found out and announced government technicians are looking for a way to detect SSL proxy streams from browser SSL connections and they have succeeded in part to detect and terminate this SSL tunnels.

Despite all the limitations mentioned above on our VPN servers and very heavy SSL traffic throttling, Project Ainita’s SSL Proxy servers are relaying more traffic than ever with a growing trend in past few weeks:


The trend above shows a real thirst for free and fair information in the Iranian society. As promised before, Project Ainita technical team is actively working on new ways and technologies to help our friends in Iran. Keep checking this blog for some good news to come!

آخرین تحولات در شبکه اینترنت ایران:

از تاریخ 7 مارچ 2013 ، مخابرات ایران دسترسی کاربران به پروتوکل وی پی ان را مسدود کرد و اصلی ترین تکنولوژی برای دور زدن سانسورها و نظارت های آنلاین دولت ایران بر فعالیت های کاربران را مسدود کرد، مشخص شد آنها به دلیل برگزاری انتخابات ریاست جمهوری که در تاریخ 14 ژویئه 2013 برگزار خواهد شد، در حال آماده سازی برای اعمال فشار بی سابقه بر روی شبکه اینترنت در ایران هستند .

البته دلیل این اعمال فشارها انتخابات سال 2009 در ایران بود که دو نامزد ریاست جمهوری و طرفدارانشان ادعا کردند که تقلب گسترده ای صورت گرفته و خواستار برگزاری انتخابات مجدد بودند. زمانی که خواسته های آنان بی جواب ماند، میلیون ها نفر به نشانه اعتراض به خیابان ها آمدند و رسانه های اجتماعی با چنان ترافیک کاربری مواجه شدند که حتی توییتر آپدیت سیستم خود را متوقف کرد تا بتواند لحظه به لحظه برای حمایت از مردم ایران پوشش خبری داشته باشد. نتیجه این اتفاقات اعمال محدودیت های سنگین ترافیک آنلاین و اختلالات متعدد دیگر بود ، همچنین دولت تمام تلاش خود را برای به حداقل رساندن ترافیک در دسترسی به سایت های بین المللی انجام داد ولی دسترسی به شبکه را کاملا قطع نکرد.

بسیاری از فعالان و شهروند خبرنگاران با مشکلات زیادی برای آپلود کردن عکس ها و کلیپ های ویدئویی کوتاهی که با موبایل خود گرفته بودند مواجه شدند. 4 سال گذشته و دولت ایران این بار از هیچ اقدامی برای جلوگیری از تکرار وضعیت مشابه کوتاهی نخواهد کرد. در ماه فوریه 2012 آنها یک طرح آزمایشی 3 روزه اجرا کردند تا تاثیر انسداد کامل پروتکل وی پی ان  و اختلالات مرتبط را بر روی ISPها و شبکه ها امتحان کنند، اینگونه بود که اتفاقات مهمی سراسر کشور به وقوع پیوست : اختلال گسترده در ارتباطات شعب بانکی ، عدم سرویس دهی خودپردازها، ارتباط سفارتخانه ها در ایران با کل دنیا قطع شد و پس از این اختلالات گسترده هیچ کس تصور نمیکرد که این محدودیت ها را به طور دائم و همیشگی اعمال کنند. همچنین در فوریه 2013 مقامات دولت اعلام کردند که پروتکل های وی پی ان به زودی مسدود و تمامی ارتباطات وی پی ان ها قطع خواهد شد و ارگان ها و سفارت ها می توانند برای مستثنی شدن از این محدودیت ها ثبت نام نمابند که اگر مورد تایید بودند بتوانند از این نکنولوژی استفاده نمایند. سپس آنها از تمام قوای خود برای بستن تمامی گذرگاه های مردم برای دور زدن فیلترینگ استفاده کردند.

توضیحات زیر نحوه ایجاد تغییرات را از اکتبر 2012 نشان می دهد:

1. دوم اکتبر : SSL بر روی تمامی پورت ها به جز پورت 443 بسته شد تا بتوانند بر روی آنالیز بیشتر پکت ها و DPI  روی پورت های خاصی تمرکز نمایند.

2. هفتم اکتبر : DPI  شدید و محدودیت شدید ترافیک SSL بر روی پورت 443 اعمال شد.

3. هفتم مارچ : پورت های L2TP/PPTP  وی پی ان بسته شد.

4. دوازده مارچ: SSTP بسته شد.

5. یک می : OpenVPN که از شروع اعمال این محدودیت ها فعال بود بسته شد.

6. شش می : محدودیت جدید DPI : هر استریم رمزگذاری شده بعد از ۱۲۰ ثانیه ارتباط قطع میشود.

7. هشت می: وی پی ان Kerio بسته شد.

8. بعد ها در ماه می بقیه راه کارها مانند NEXT VPN , SoftEther و VPN GATE نیز بسته شدهمچنین آنها تمام تلاش خود را برای بستن دیگر نرم افزار ها مانند Psiphone و freegate نیز انجام دادند و دسترسی به آنها را نیز غیر ممکن کردند.

10. ده  می : ما متوجه شدیم و اعلام کردیم که تکنسین های دولت در حال بررسی راه حلی برای شناسایی استریم هایSSL پروکسی هستند و تا حدی موفق شدند این استریم ها را از SSL های وب سایت ها شناسایی و امکان ارتباط را قطع نمایند.

با وجود تمامی محدودیت اعمال شده، SSL پروکسی پروژه آی نیتا  در حال حاضر دارای بیشترین ترافیک در چند هفته گذشته است و همانطور که مشاهده می نمایید دارای روند رو به رشدی  از چند هفته قبل بوده است :


نمودار بالا بیانگر اشتیاق جامعه ایران به درسترسی به اخبار و گردش آزاد اطلاعات است. همانطور که قبلا نیز به شما قول داده بودیم تیم فنی پروژه آی نیتا همواره در حال تلاش برای یافتن راهکارهای جدید برای کمک به کاربران در ایران می باشد و امیدواریم یه زودی خبر های بهتری اعلام کنیم. برای دریافت آخرین اخبار این بلاگ را همواره مطالعه نمایید.

Read More