استفاده از روش‌های جدید در حملات فیشینگ

محققان حملات فیشینگی را مشاهده کرده‌اند که مجرمان سایبری در آن‌ها از روش‌های جدیدی برای جلوگیری از شناسایی شدن و بهره‌وری بیشتر از عملیاتشان استفاده کرده‌اند. تعداد رو به افزایشی از گروه‌های مجرمان سایبری شناسایی شده‌اند که حملات فیشینگ بسیار سودآوری روی مدیران تجاری انجام می‌دهند، اما حملاتی که به توده مردم می‌شود هم می‌تواند بسیار سودآور باشد، به همین دلیل مهاجمان روی پیشرفت روش‌هایشان کار می‌کنند.

پیکربندی نادرست URL های موقت
اوایل این ماه، Sucuri روش جالبی را گزارش داد که مهاجمان در حملات فیشینگ از آن استفاده می‌کنند. مجرمان سایبری برای اینکه توسط محصولات و روش‌های امنیتی مسدود نشوند باید به‌طور مرتب دامنه‌هایی که از صفحات فیشینگشان میزبانی می‌کند را تغییر دهند و حالا ظاهراً راهی پیدا کرده‌اند که دامنه‌های موردنیازشان را به آن‌ها می‌دهد.
طبق گفته محققان، مهاجمان از این حقیقت که ارائه‌دهندگان خدمات میزبانی از جمله برخی از ارائه‌دهندگان معروف و مهم، URL های موقت را به‌درستی پیکربندی نمی‌کنند، سوءاستفاده می‌کنند. به کاربران پیشنهاد می‌شود از این URL ها که چیزی شبیه http://server-name/~username/ است، استفاده کنند تا پیش از اینکه به دامنه‌های خودشان وصل شوند، وب‌گاه‌هایشان را آزمایش کنند.

وقتی این URL ها به‌درستی پیکربندی نشوند، می‌توان از طریق نام دامنه روی کارگزاری مشابه به پرونده‎های کاربری دسترسی پیدا کرد. مهاجم می‌تواند حسابی را روی کارگزار به اشتراک گذاشته شده، ثبت کند، صفحات فیشینگ خود را بارگذاری کند و فهرستی از وب‌گاه‌های دیگر روی آن کارگزار تهیه کنند.
اگر این URL های موقت به‌درستی تنظیم نشوند، صفحات فیشینگ از طریق هرکدام از نام‌های دامنه همسایه قابل‌دسترسی می‌شوند. برای مثال اگر مهاجم صفحه فیشینگ را به /~attacker/phishing روی وب‌گاه خودش بارگذاری کند، این صفحه از طریق

neighbor-site۱.xyz/~attacker/phishing
neighbor-site۲.xyz/~attacker/phishing

و غیره نیز قابل‌دسترسی می‌شوند.

یکی از محققان Sucuri به نام دنیس سینگوبکو در وبلاگی نوشت: «یک حساب کارگزاری صدها دامنه متفاوت رایگان برای صفحات مخرب مهاجمان ارائه می‌‌دهد. مهاجمان بدون اینکه مکان واقعی پرونده‎های مخرب را فاش کنند و بدون اینکه پرونده‎های خود را هنگام مسدود شدن دامنه‌ها به‌جایی دیگر انتقال دهند می‌توانند خیلی سریع دامنه‌ها را تغییر دهند».
این روش در دنیای واقعی مشاهده شده ‌است و این شرکت امنیتی (Sucuri) نمونه‌هایی را مشاهده کرده‌ است که در آن‌ها وب‌گاه‌های قانونی به این علت که روی همان کارگزاری بوده‌اند که وب‌گاه مخرب نیز بوده‌ است، مسدود شده‌اند.
صاحبان وب‌گاه‌ها با دسترسی به وب‌گاه‌های خود و با استفاده از نام دامنه خود می‌توانند ببینند که آیا دامنه‌شان آلوده شده است یا خیر (مانند http://your-domain.com/~yourusername)؛ و اگر این کار جواب داد، مشخص می‌شود که ارائه‌دهنده خدمات میزبانی به‌درستی URL های موقت را پیکربندی نکرده‌اند.

استفاده از جاوا اسکریپت برای سرقت بی‌سروصدای اعتبارات
محققی انگلیسی با نام مجازی dvk۰۱uk، فیشینگ‎کننده PayPal رایانامه‌ای را گزارش کرده ‌است که از روش هوشمندانه‌ای برای فریب گیرندگان رایانامه‌ها استفاده می‌کنند به‌گونه‌ای که آن‌ها فکر می‌کنند که جزئیات اطلاعاتی را که می‌دهند به کارگزاران فرآیند پرداخت فرستاده می‌شود.
این رایانامه به کاربران می‌گوید که تراکنش‌های غیرمعمولی روی حسابشان صورت گرفته و به آن‌‌ها می‌گوید که یک فرم html پیوست ‌شده‌ را بارگیری کرده و اطلاعات موردنیاز را در آن وارد کنند؛ و به نظر می‌رسد که دکمه تائید زیر فرم به یک دامنه PayPal قانونی وصل است.

بررسی دقیق‌تر نشان می‌دهد که مهاجمان واقعاً از جاوا اسکریپت برای سرقت اطلاعات تائید شده استفاده کرده‌اند و آن را به کارگزار فیشینگ‎کننده فرستاده‌اند درحالی‌که قربانیان را به وب‌گاه PayPAl قانونی هدایت می‌کنند.
dvk۰۱uk گفت: «به‌محض اینکه صفحه (پیوست HTML) بارگذاری شد، جاوا اسکریپت راه‌اندازی می‌شود و تمامی پست‌های روی PayPal.com را بررسی و به صفحه فیشینگی واقعی می‌فرستد تا تمامی اطلاعات کاربران را به سرقت ببرد درحالی‌که مرورگر کاربر همچنان به صفحه اصلی PayPal وارد می‌شود».

این روش اکثر روش‌های امنیتی و ضد فیشینگ را دور می‌زند، از جمله بیشتر نوارابزارها، فیلترهای فیشینگ و ضدویروس‌ها که در حال حاضر تنها دکمه تائید URL را بررسی می‌کنند و پرونده‎های جاوا اسکریپت پیوند شده را بررسی نمی‌کنند.
اگر از این روش روی وب‌گاهی واقعی با یک نام دامنه به‌ظاهر قانونی به‌جای فرم HTML پیوست شده به یک رایانامه استفاده شود، می‌تواند حتی مؤثرتر و مخرب‌تر هم باشد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.