وضعیت سرورها

وبــلاگ

وضعیت سرورها
  • تکنیک های از بین بردن حملات فیشینگ

    علیرضا وحدتی سه شنبه ۲۱ شهریور ۱۳۹۶ آموزش , امنیت , مقالات

    همه مون میدونیم که نباید روی لینک های موجود در ایمیل های ناقصی که دریافت میکنیم کلیک کنیم. اما اگه وبسایتی که داریم تماشا میکنیم ما رو به یه صفحه ی جعل شده در Apple ID شرکت اپل ببره و ازتون اطلاعات لاگین تون رو بپرسه چی؟ به این تاکتیک فیشینگ میگن و حملات این تیپی بشکلی عجیب در حال افزایشه.

    هکرهای گلمون هر چی تو چنته دارن میذارن تا ما قربانی های طفلکی رو مجبور کنن بهشون از طریق کمپین های ایمیلی گول زننده، هشدارهای پیامکی، و وبسایت های جعلی که غالباً معتبر جلوه داده شدن اطلاعات بدیم. مجرمین سایبری از این تاکتیک های مهندسی اجتماعی استفاده میکنن که مردم رو گول بزنن تا اطلاعات حساسی مثل اطلاعات کارت اعتباری و user/pass رو تقدیم کنند.

     

    رشد و پیچیدگی

    سال گذشته، ما در مقاله ای با عنوان how modern web phishing works روشهای مدرن کارکرد حملات فیشینگ رو شرح دادیم و در مورد پیچیدگی و جزئیات فنی حملات پیشرفته فیشینگ بحث کردیم.

    رشد حملات فیشینگ دراماتیک بوده و هنوز در حال افزایش است. آخرین گزارش از State of the Phish گزارش داد که ۷۶٫۵% از حرفه ای های حوزه امنیت گفته اند که در سال ۲۰۱۶ قربانی یک حمله فیشینگ بوده اند.

    موسسه متخصصان امنیت اطلاعات (IISP) اخیراً یک نظرسنجی برپا کرد و کشف کرد که ۸۱% از اعضاء شرکت کننده اش عقیده دارند که «مردم» بزرگترین چالش پیشروی متخصصین امنیت هستند.

    در ژانویه ۲۰۱۷، گوگل کروم و فایرفاکس شروع کردند به علامت زدن یکسری صفحات HTTP واقعی که اینها جعلی هستند و دارن تلاش می کنند تا صفحات فیشینگ رو قانونی تر و موجه تر جلوه بدن. به فاصله کوتاهی Paul Mutton از کمپانی ضدفیشینگ Netcraft تذکر داد که صفحات فیشینگ HTTPS سه برابر شده و فرضیه اش این بود که کلاهبرداران به سرعت خود را با شرایط تطبیق می دهند و اینکه کاربران باید در مسیر امنیت وب پیوسته حرکت کنند.

    یکی از بزرگترین چالش هایی که محققین ما تشخیص دادند این بود که مالکین وبسایت ها بسادگی از این حقیقت که وبسایت هایشان ممکن است هک شده و صفحات فیشینگ یا دیگر انواع ابزارهای خرابکار به مردم ارائه بدهد ناآگاه بودند.

    همانطور که حمله ها پیچیده تر می شود این تکنیک های مهندسی اجتماعی تهدید بزرگی برای کاربران، سازمانها، و دارندگان وبسایت مانند خود شما بحساب می آید.

     

    تکنیک های از بین بردن و سایت های فیشینگ

    طی پاسخ به اعلام کمک برخی کاربران، ما یک دایرکتوری فیشینگ بنام “login-apple-account” را روی وبسایت مشتریان پیدا کردیم. وقتی کاربران قصد داشتند به مسیر گفته شده بروند، به مسیر دیگری هدایت میشدند که حاوی وبسایت بظاهر کاملاً واقعی Apple ID شرکت اپل میبرد.

    چیزی که این حمله را خاص جلوه میداد این بود که این کمپین روشهای متنوع و متفاوتی از حمله را پیاده سازی کرده بود و کار نهادهای زیربط را برای کشف و بلک لیست کردن آن دشوار کرده بود.

    صفحه فوق بشکل شرطی نمایش داده میشد و موتورهای جستجو، آنتی ویروسها و شرکت های آنتی فیشینگ را به صفحه رسمی و قانونی Apple ID شرکت اپل هدایت میکرد!

    مثلاً فایل «login-apple-account/assets/includes/netcraft_check.php» اگر user-agent معادل Netcraft میبود جلو دسترسی به صفحه آلوده را میگرفت!

    در مثال زیر، user-agent بجای صفحه فیشینگ بسادگی به سرچ گوگل هدایت میشود:

     

     

    سایر فایلهای موجود در دایرکتوری فیشینگ فوق نیز همگی فهرستی دقیق از IP های آنتی ویروسها و آنتی فیشینگ های معتبر را در خود داشتند که دسترسی همه آنها به دایرکتوری مسدود میشد.

    با محدود کردن این IP ها، هکرها می توانستند جلوی کشف دایرکتوری و بلک لیست شدن صفحه آلوده را بگیرند.

     

    کشف و خنثی سازی حملات فیشینگ

    کشف تزریق های فیشینگ میتواند بسیار مشکل باشد. این یک امر ضروری و واجب است که مالکان وبسایتها بشکل فعال و مداوم صحت و درستی فایلها و دایرکتوری هایشان را چک کنند. برای آگاهی از اینکه سایتی بعنوان آلوده علامت گذاری شده است یا نه میتوان از سرویس PhishTank استفاده کرد؛ انباری مشارکتی برای داده ها و اطلاعات حوزه فیشینگ که توسط OpenDNS اداره میشود.

    حذف دایرکتوری فیشینگ به تنهایی برای حل کامل این مشکل کافی نیست. علاوه بر آن باید همه backdoor های داخل فایلهای وبسایت را پیدا کرده و حذف کنید و سپس نرم افزار سایتتان را آپدیت کنید.

    اگر شما مالک وبسایت هستید و شک دارید که وبسایت تان ممکن است آلوده به فیشینگ شده باشد، ما می توانیم سایت شما را بررسی نموده و گزارشی از مشکلات بالقوه سایت شما را اعلام کنیم. همچنین می توانیم وضعیت سایت شما را در PhishTank بررسی نمائیم.

    در صورت تمایل می توانید درخواست خود مبنی بر بررسی وضعیت سایت را از طریق پرتال مشتریان ایرانسرور ارسال نمائید.

    برگرفته شده از [sucuri.net]

    1+

    برچسب ها :

با عضویت در خبرنامه شما را از آخرین تجربیات مان و مطالب تخصصی آگاه خواهیم کرد.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *