مجرمان سایبری حملات فیشینگ را سازمان‌دهی می‌کنند!

اصل مهمی که در حملات فیشینگ وجود دارد، این است که هکرها برای فرار از دست محصولات امنیتی و سرویس‌های امنیتی باید به‌طور مرتب و دائم دامنه‌هایی که صفحات فیشینگ را میزبانی می‌کنند، تغییر دهند. اما هکرها اکنون سازوکاری به دست آورده‌اند که دامنه‌های مورد نیاز آن‌ها را به سرعت در اختیارشان قرار می‌دهد.

حملات فیشینگ بر مبنای زیرکی، اختفا، مهندسی اجتماعی و هوشمندی استوار می‌شوند. اما به نظر می‌رسد مجرمان سایبری به این عوامل قناعت نکرده و در نظر دارند از سازوکارهای قدرتمند‌تری در این زمینه استفاده کنند. کارشناسان امنیتی به‌تازگی گروهی از مجرمان سایبری را شناسایی کرده‌اند که با استفاده از راهکارهای خود موفق شده‌اند بسیاری از مدیران تجاری و حتی کاربران خانگی را نیز فریب دهند. ایمیل‌های کلاهبردارانه تاکنون نزدیک به 3.1 میلیارد دلار به سازمان‌ها ضرر و زیان وارد کرده‌اند. اما سؤال این است که آن‌ها در این راه چگونه موفق شده‌اند؟

آدرس‌های URL موقتی که به اشتباه پیکربندی می‌شوند

اوایل ماه ژوئن (تیرماه) بود که شرکت «Sucuri» راهکار جالبی را ارائه کرد که نشان می‌داد مهاجمان سایبری در حملات فیشینگ خود ممکن است از آن استفاده کنند. اصل مهمی که در حملات فیشینگ وجود دارد، این است که هکرها برای فرار از دست محصولات امنیتی و سرویس‌های امنیتی باید به‌طور مرتب و دائم دامنه‌هایی که صفحات فیشینگ را میزبانی می‌کنند، تغییر دهند. اما هکرها اکنون سازوکاری به دست آورده‌اند که دامنه‌های مورد نیاز آن‌ها را به سرعت در اختیارشان قرار می‌دهد.

آن گونه که کارشناسان امنیتی اعلام کرده‌اند، هکرها به این حقیقت مهم آگاه شده‌اند که ارائه دهندگان خدمات میزبانی آدرس‌های اینترنتی موقت، توجه دقیقی به پیکربندی آدرس‌ها از خود نشان نمی‌دهند و همین موضوع به آن‌ها این توانایی را می‌دهد تا از این کم‌کاری نهایت استفاده را ببرند. این آدرس‌های اینترنتی که چیزی شبیه به ترکیب نحوی http://server-name/~username/ هستند، به کاربران پیشنهاد می‌کنند قبل از آنکه به دامنه‌های خود متصل شوند و سایت‌هایشان را آزمایش کنند، به این آدرس‌ها اجازه دهند تا سایت‌های آن‌ها را آزمایش کنند. زمانی‌که این آدرس‌های اینترنتی موقت به‌درستی پیکربندی نشده باشند، این ظرفیت را به وجود می‌آورند تا یکی از فایل‌های کاربر (صفحه‌های فیشینگ) با استفاده از هریک از نام‌های دامنه در همان سرور در دسترس قرار بگیرد. برای مثال اگر هکری صفحه فیشینگ خود را به /~attacker/phishing روی سایت خود آپلود کند، صفحه از طریق آدرس‌هایی همچون neighbor-site1.xyz/~attacker/phishing و neighbor-site2.xyz/~attacker/phishing و... در دسترس قرار می‌گیرد.

دنیس سینگوبکو، از پژوهشگران Sucuri در این باره گفته است: «یک حساب سروری می‌تواند صدها دامنه متفاوت و رایگان ویژه صفحات مخرب را در اختیار هکرها قرار دهد. در نتیجه هکرها بدون آنکه نیازی داشته باشند آدرس دقیق فایل‌های مخرب را منتشر کنند و بی‌آنکه نیازی به تغییر فایل‌ها در هنگام مسدود شدن و رفتن به دامنه دیگری برای آن‌ها باشد، بسیار سریع قادر به تغییر دامنه‌ خواهند بود.»

شرکت Sucuri اعلام کرده است که نمونه‌های واقعی از پیاده‌سازی این چنین روشی را در فضای سایبری مشاهده کرده است و سایت‌های قانونی و مشروع به دلیل اینکه سروری برای میزبانی سایت‌های مخرب بوده‌اند، مسدود شدند. مالکان سایت‌ها با استفاده از نام دامنه خودشان می‌توانند آگاه شوند که آیا سایتشان آلوده شده است یا خیر. مالکان می‌توانند از ترکیب نحوی همچون http://your-domain.com/~yourusername استفاده کنند. اگر این روش مؤثر بود؛ نشان می‌دهد که ارائه‌دهنده خدمات هاست به‌درستی آدرس‌های موقت اینترنتی را پیکربندی نکرده است.

هکرها از جاوا اسکرپیت برای سرقت بی‌سرو صدای اعتبارها استفاده می‌کنند

یک کارشناس امنیتی با نام مستعار dvk01uk، به‌تازگی از یک ایمیل فیشینگ PayPal پرده برداشته است؛ تکنیکی که به شکلی هوشمندانه برای قربانیان ایمیل‌های جعلی ارسال می‌کند. این ایمیل‌ها به‌طرز ماهرانه‌ای می‌توانند کاربران را فریب دهند؛ به‌گونه‌ای که کاربران احساس می‌کنند اطلاعات را برای سرور اصلی پرداخت ارسال می‌کنند.

این ایمیل به کاربران اعلام می‌کند که تراکنش‌های غیرمعمولی با حساب آن‌ها انجام شده و برای تأیید این تراکنش‌ها باید یک صفحه html را دانلود کنند، اطلاعات مورد نیاز را درون فیلدهای این صفحه قرار دهند و دکمه submit را که در زیر فرم قرار دارد برای ارسال این اطلاعات برای دامنه پی‌پال کلیک کنند.

بررسی‌های دقیق‌تر نشان داده است که هکرها در شگردی جالب از جاوا اسکرپیت برای سرقت اطلاعات تأییدشده، استفاده کرده و این اطلاعات را برای سرور فیشینگ ارسال می‌کنند. در حالی که در همین راستا قربانیان را به سمت سایت پی‌پال قانونی ارجاع می‌دهند. dvk01uk در این خصوص گفته است: «همان لحظه‌ای که صفحه html آپلود می‌شود، جاوا اسکرپیت به مرحله اجرا درمی‌آید، تمامی پست‌های سایت Paypal.com را بررسی کرده و برای صفحه فیشینگ واقعی ارسال می‌کند. این کار برای سرقت اطلاعات کاربران استفاده می‌شود. در حالی که مرورگر قربانی به صفحه اصلی پی‌پال وارد می‌شود.» این تکنیک می‌تواند از بیشتر مکانیزم‌های امنیتی عبور کند و حتی ابزارهای ضدفیشینگ را نیز پشت سر نهد. امروزه نوار ابزارها، فیلترهای ضدفیشینگ و آنتی‌ویروس‌ها تمرکز خاصی روی بررسی صحت دکمه تأیید (submit) از خود نشان داده‌اند و فایل‌های جاوا اسکرپیت پیونده‌زده‌شده را بررسی نمی‌کنند. بدتر آنکه اگر از این تکنیک روی سایت‌های واقعی با یک دامنه قانونی به جای فرم HTML پیوست‌شده به یک ایمیل استفاده شود، به‌مراتب خطرناک‌تر خواهد بود.