حملات فیشینگ بر مبنای زیرکی، اختفا، مهندسی اجتماعی و هوشمندی استوار میشوند. اما به نظر میرسد مجرمان سایبری به این عوامل قناعت نکرده و در نظر دارند از سازوکارهای قدرتمندتری در این زمینه استفاده کنند. کارشناسان امنیتی بهتازگی گروهی از مجرمان سایبری را شناسایی کردهاند که با استفاده از راهکارهای خود موفق شدهاند بسیاری از مدیران تجاری و حتی کاربران خانگی را نیز فریب دهند. ایمیلهای کلاهبردارانه تاکنون نزدیک به 3.1 میلیارد دلار به سازمانها ضرر و زیان وارد کردهاند. اما سؤال این است که آنها در این راه چگونه موفق شدهاند؟
آدرسهای URL موقتی که به اشتباه پیکربندی میشوند
اوایل ماه ژوئن (تیرماه) بود که شرکت «Sucuri» راهکار جالبی را ارائه کرد که نشان میداد مهاجمان سایبری در حملات فیشینگ خود ممکن است از آن استفاده کنند. اصل مهمی که در حملات فیشینگ وجود دارد، این است که هکرها برای فرار از دست محصولات امنیتی و سرویسهای امنیتی باید بهطور مرتب و دائم دامنههایی که صفحات فیشینگ را میزبانی میکنند، تغییر دهند. اما هکرها اکنون سازوکاری به دست آوردهاند که دامنههای مورد نیاز آنها را به سرعت در اختیارشان قرار میدهد.
آن گونه که کارشناسان امنیتی اعلام کردهاند، هکرها به این حقیقت مهم آگاه شدهاند که ارائه دهندگان خدمات میزبانی آدرسهای اینترنتی موقت، توجه دقیقی به پیکربندی آدرسها از خود نشان نمیدهند و همین موضوع به آنها این توانایی را میدهد تا از این کمکاری نهایت استفاده را ببرند. این آدرسهای اینترنتی که چیزی شبیه به ترکیب نحوی http://server-name/~username/ هستند، به کاربران پیشنهاد میکنند قبل از آنکه به دامنههای خود متصل شوند و سایتهایشان را آزمایش کنند، به این آدرسها اجازه دهند تا سایتهای آنها را آزمایش کنند. زمانیکه این آدرسهای اینترنتی موقت بهدرستی پیکربندی نشده باشند، این ظرفیت را به وجود میآورند تا یکی از فایلهای کاربر (صفحههای فیشینگ) با استفاده از هریک از نامهای دامنه در همان سرور در دسترس قرار بگیرد. برای مثال اگر هکری صفحه فیشینگ خود را به /~attacker/phishing روی سایت خود آپلود کند، صفحه از طریق آدرسهایی همچون neighbor-site1.xyz/~attacker/phishing و neighbor-site2.xyz/~attacker/phishing و... در دسترس قرار میگیرد.
دنیس سینگوبکو، از پژوهشگران Sucuri در این باره گفته است: «یک حساب سروری میتواند صدها دامنه متفاوت و رایگان ویژه صفحات مخرب را در اختیار هکرها قرار دهد. در نتیجه هکرها بدون آنکه نیازی داشته باشند آدرس دقیق فایلهای مخرب را منتشر کنند و بیآنکه نیازی به تغییر فایلها در هنگام مسدود شدن و رفتن به دامنه دیگری برای آنها باشد، بسیار سریع قادر به تغییر دامنه خواهند بود.»
شرکت Sucuri اعلام کرده است که نمونههای واقعی از پیادهسازی این چنین روشی را در فضای سایبری مشاهده کرده است و سایتهای قانونی و مشروع به دلیل اینکه سروری برای میزبانی سایتهای مخرب بودهاند، مسدود شدند. مالکان سایتها با استفاده از نام دامنه خودشان میتوانند آگاه شوند که آیا سایتشان آلوده شده است یا خیر. مالکان میتوانند از ترکیب نحوی همچون http://your-domain.com/~yourusername استفاده کنند. اگر این روش مؤثر بود؛ نشان میدهد که ارائهدهنده خدمات هاست بهدرستی آدرسهای موقت اینترنتی را پیکربندی نکرده است.
هکرها از جاوا اسکرپیت برای سرقت بیسرو صدای اعتبارها استفاده میکنند
یک کارشناس امنیتی با نام مستعار dvk01uk، بهتازگی از یک ایمیل فیشینگ PayPal پرده برداشته است؛ تکنیکی که به شکلی هوشمندانه برای قربانیان ایمیلهای جعلی ارسال میکند. این ایمیلها بهطرز ماهرانهای میتوانند کاربران را فریب دهند؛ بهگونهای که کاربران احساس میکنند اطلاعات را برای سرور اصلی پرداخت ارسال میکنند.
این ایمیل به کاربران اعلام میکند که تراکنشهای غیرمعمولی با حساب آنها انجام شده و برای تأیید این تراکنشها باید یک صفحه html را دانلود کنند، اطلاعات مورد نیاز را درون فیلدهای این صفحه قرار دهند و دکمه submit را که در زیر فرم قرار دارد برای ارسال این اطلاعات برای دامنه پیپال کلیک کنند.
بررسیهای دقیقتر نشان داده است که هکرها در شگردی جالب از جاوا اسکرپیت برای سرقت اطلاعات تأییدشده، استفاده کرده و این اطلاعات را برای سرور فیشینگ ارسال میکنند. در حالی که در همین راستا قربانیان را به سمت سایت پیپال قانونی ارجاع میدهند. dvk01uk در این خصوص گفته است: «همان لحظهای که صفحه html آپلود میشود، جاوا اسکرپیت به مرحله اجرا درمیآید، تمامی پستهای سایت Paypal.com را بررسی کرده و برای صفحه فیشینگ واقعی ارسال میکند. این کار برای سرقت اطلاعات کاربران استفاده میشود. در حالی که مرورگر قربانی به صفحه اصلی پیپال وارد میشود.» این تکنیک میتواند از بیشتر مکانیزمهای امنیتی عبور کند و حتی ابزارهای ضدفیشینگ را نیز پشت سر نهد. امروزه نوار ابزارها، فیلترهای ضدفیشینگ و آنتیویروسها تمرکز خاصی روی بررسی صحت دکمه تأیید (submit) از خود نشان دادهاند و فایلهای جاوا اسکرپیت پیوندهزدهشده را بررسی نمیکنند. بدتر آنکه اگر از این تکنیک روی سایتهای واقعی با یک دامنه قانونی به جای فرم HTML پیوستشده به یک ایمیل استفاده شود، بهمراتب خطرناکتر خواهد بود.
منبع: شبکه