معرفی حمله خطرناک فیشینگ

21 خرداد 1396
نویسنده :  

حملات phishing  برای بدست آوردن اطلاعات مهم و حساس مانند نام کاربری، پسورد و اطلاعات حساب بانکی طراحی می شوند. این حملات اغلب خود را به عنوان یک نهاد معتبر و قابل اعتماد در یک ارتباط الکترونیکی معرفی می کنند که براساس محاسبات انجام شده توسط Microsoft میزان خسارت های مالی وارد شده توسط  این نوع حملات به 5 بیلیون دلار امریکایی می رسد.حملات phishing معمولا از طریق e-mail spoofing (کلاهبرداری از طریق ایمیل) و یا پیام رسانی های فوری کاربران را اغوا کرده و با ارائه یک صفحه جعلی از صفحات تحت وب شبکه های اجتماعی مانند Facebook ،Twiter ،Yahoo ، Instagram و یا صفحات بانک های معتبر از کاربران درخواست می شود اطلاعات شخصی خود را وارد نمایند که به محض وارد کردن اطلاعات هکر آنها را دریافت می کند.

 

 

انواع حملات فیشینگ

Clone phishing :

این نوع حمله شامل یک ایمیل به همراه یک فایل ضمیمه و یا لینک مخرب میباشد که قربانی پس از CLICK  بر روی هرکدام از آنها  یک بد افزار بر روی سیستم وی لود می شود. این بد افزار پس از قرار گرفتن بر روی سیستم قربانی خود را در قالب یک صفحه جعلی نمایان میکند که قربانی با دیدن صفحه به آن اعتماد کرده و آن را به عنوان یک صفحه معتبر در نظر می گیرد. این ایمیل ها ممکن است به بهانه های متعددی به سمت قربانی ارسال شوند که از جمله ایمیل های متداول تغییرات در نسخه جدید صفحه می باشد. این حمله می تواند از تکنیک Pivot استفاد کند به این شکل که پس از آلوده کردن یک سیستم به صورت مستقیم در شبکه، به دیگر سیستم ها به طور غیر مستقیم یا Pivot دسترسی پیدا کند که این دسترسی غیر مستقیم توسط سیستم که به طور مستقیم آلوده شده است امکان پذیر می باشد.

 

Whaling :

این حمله  برای فریب دادن افراد با موقعیت شغلی رده بالا طراحی شده است که هکر با طراحی صفحات جعلی و یا ایمیل های scam سعی در دزدیدن اطلاعات این افراد دارد. این صفحات و ایمیل های جعلی معمولا دارای اطلاعاتی از قبیل، حکم حقوقی، شکایت مشتری و یا مسئله اجرایی میباشد. ایمیل های جعلی whaling scam تحت عنوان فوری و خیلی مهم در زمینه کسب و کار از یک ارگان معتبر به این افراد رده بالا ارسال می شود و بر اساس روش های از قبل طراحی شده توسط هکر اقدام به فریب دادن و دزیدن اطلاعات میکند این نوع حمله نیز از تکنیک دیگری تحت عنوان احضاریه مدیران ارشد استفاده می کند. هکر با فرستادن یک ایمیل با موضوع احضاریه که متن نامه آن جعل شده متن احضاریه رسمی (FBI) Federal Bureau of Investigation  می باشد به همراه یک لینک ارسال می شود و از مدیران قربانی خواسته می شود که جهت مشاهده متن احضاریه باید اقدام به نصب یک نرم افزار خاص کنند. که در شکل زیر یک نمونه نامه جعلی ارسال شده توسط FBI برای شما آورده شده است :

 

Link manipulation :


در اکثر حملات فیشینگ معمولا یک لینک مخربی ایجاد می شود و به همراه آن صفحه جعل شده یکی از سازمان ها و یا شرکت های معتبر به سمت قربانی از طریق ایمیل فرستاده می شوند. در حمله Link manipulation هکر با استفاده از تکنیک subdomain لینک مخرب خود را ایجاد می کند به عنوان مثال این لینک را در نظر بگیرید  http://www.youraccount.facebook.com در لحظه اول قربانی فکر می کند این لینک آن را به وب سایت facebook هدایت میکند درحالی که این لینک به youraccount اشاره میکند. یکی دیگر از تکنیک ها استفاده از توضیحات (متنی که بین  Tag(A))  برای لینک جعلی می باشد که قربانی را مطمئن می سازد که مقصد این لینک، معتبر و همان وب سایتی می باشد که قصد اتصال به آن را دارد در حالی که این لینک در خواست قربانی را redirect کرده و به جایی که هکر می خواهد  هدایت می شود. برای مشاهده توضیحات کافی است mouse را روی لینک ایمیل و یا لینک موجود در web browser نگه دارید تا این توضیحات نمایش داده  شوند.


مشکل دیگری که در URL ها یافته شده است، کنترل کردن نام های دامنه بین المللی یا  Internationalized Domain Names (IDN) در browser ها می باشد که ممکن است اجازه دهد آدرس های وب بصری یکسان منجر به هدایت  به سمت وب سایت های مخرب شود. با وجود تبلیغات مبنی بر حملات  IDN Spoofing  یا Homograph جهت آگاه کردن کاربران اینترنتی و نحوه انجام شدن آنها اما هکرها با وجود این تبلیغات در سطح اینترنت از این روش همچنان استفاده می کنند و قربانی را به سایت های معتبر و قابل اعتمادی متصل کرده و پس از اتصال از تکنیک Redirection استفاده می کنند و قربانی را به URL مخرب متصل می کنند. حتی گواهینامه های دیجیتالی نمی توانند این مشکل را حل کنند زیرا هکر می تواند با خرید گواهینامه های دیجیتالی و تغییر محتوای آنها  اقدام به Spoof کردن وب سایت واقعی کند .

 

 

 

 

File evaision :

هکرها برای اینکه بتوانند فیلترهایی مانند anti-phishing را دور بزنند به جای استفاده از متن های معمولی که توسط حملات email phishing استفاده می شوند از تصویر استفاده کرده و متن خود را در این تصویر پنهان سازی می کنند. این اقدام هکرها باعث شد که anti-phishier ها این ویژگی را در خود ایجاد کنند که بتوانند متن های مخفی در عکس ها را بازیابی کنند. این قابلیت با استفاده از OCR (Optical Character Recognition) شروع به اسکن کردن تصویر کرده و متن مخرب موجود در تصویر را فیلتر می کند. برخی از Anti – Phishing ها به جای استفاده از OCR از(Intelligent Word Recognition) IWR استفاده می کنند که قابلیت هایی مانند تشخیص خط شکسته، دست نوشته، چرخش (متن وارونه ) را دارد و نیز متن هایی را که در زمینه های رنگی نوشته می شوند تشخیص می دهد.

Covert redirect  :

تغییر مسیر پنهانی یکی از روش های مناسبی می باشد که هکرها در حملات خود استفاده می کنند. همانند سایر روش ها هکر لینک را به شکل کاملا امن و مجاز در سمت قربانی نشان می دهد اما با رخنه کردن در  OAuth 2.0  وOpenID  توسط نقاط ضعف open redirect  و  XSS vulnerability قربانی را به سمت وب سایت هکر هدایت می کند.

در برخی موارد حملات فیشینگ به شکل ساده قابل تشخیص می باشند زیرا لینک های مخرب معمولا ظاهر متفاوتی با URL های واقعی دارند. در حملات Covert Redirect هکر می تواند از صفحه یک وب سایت واقعی استفاده کند و به جای اینکه به صفحه وب سایت رخنه کند در آن پنجره login popup مخربی ایجاد کند و از طریق آن کاربر را فریب دهد که بخاطر همین قابلیت حمله Covert redirect را از سایر حملات متمایز می کند. به عنوان مثال قربانی بر روی لینک مخرب که با Facebook شروع می شود Click می کند پنجره login popup برای قربانی باز خواهد شد و از قربانی پرسش میکند که آیا مایل هستند نرم افزار را authorize کند در صورتی که قربانی با این در خواست موافقت کند یک Token(محل ذخیره سازی اطلاعات شخصی) به سمت هکر ارسال می شود و و تمام اطلاعات حساس قربانی بعد از authorize شدن به هکر ارسال می شوند این اطلاعات می توانند شامل ایمیل آدرس و پسورد آن، اطلاعات روز تولد و ... باشند. حال در صورتی که قربانی درخواست authorize کردن نرم افزار را رد کند قربانی به سمت وب سایت هکر redirect می شود. حمله خطرناک Covert Redirect توسط Wang Jing دانشجوی دکترای علوم ریاضی در دانشگاهNaynag Technological University  سنگاپور کشف شد.

SpaerPhishing :

به حملاتی که به صورت مستقیم اشخاص و شرکت ها را مورد حمله خود قرار می دهد spaerphishing می گویند. هکر با گردآوری اطلاعات کافی در مورد قربانی میزان و در صد موفقیت خود را افزایش می دهد. که این حمله از حملات فوق العاده موفق در دنیای اینترنت می باشد.

Phone phishing :


در حملات فیشینک هکر نیاز مبرمی به جعل صفحه وب سایت خاصی برای فریب قربانیان و اقدام به دزدیدن اطلاعات شخصی آنان ندارد. بلکه می تواند از طریق یک پیام که به ظاهر از طرف یک موسسه بانکی خاصی می باشد برای قربانی ارسال شود که متن پیام می تواند خبری مبنی بر اینکه حساب بانکی قربانی با مشکل مواجه شده است و بانک نیاز به تماس فوری قربانی با شماره تلفن مذکور در متن پیام دارد هکراین شماره را توسط سرویس VoIP (Voice over IP service) پیاده سازی کرده است که در صورت تماس و شماره گیری از قربانی در خواست میشود برای بررسی مشکل حساب بانکی پیش آمده اقدام به وارد کردن مشخصات حساب بانکی از جمله شماره حساب و PIN مربوطه کند که به محض وارد کردن این اطلاعات هکر آنها را ثبت میکند که به این نوع حملات Vishing (voice-phishing) نیز گفته میشود. در حملات Vishing می توان از شماره های جعلی شرکت های معتبر و قابل اعتماد استفاده شود. SMS Phishing نیز با استفاده از پیام های متنی تلفن همراه و فریب قربانیان هکر به اطلاعات شخصی و حساس قربانی دست می یابد.

 

یکی دیگر از روش هایی که در اکثر مواقع موفقیت آمیز بوده است این میباشد که هکر ابتدا قربانی را به سمت یک وب سایت معتبر هدایت می کند و پس از هدایت به صفحه اصلی وب سایت یک صفحه  login popup باز شده و بر روی صفحه اصلی قرار می گیرد و در صورت وارد کردن اطلاعات خواسته شده در صفحه هکر آنها را دریافت و ثبت میکند.

 

روش های دیگر حملات فیشینگ

·       Tabnabbing  یکی دیگر از روش هایی است که هکر ها استفاده می کنند. روش این حمله بدین گونه است که به محض ورود به یک سایت چندین صفحه وب هم زمان باز میشوند که یکی از این صفحات به صفحه مخرب هکر Redirect می شود.

·         Evil Twin یکی دیگر از حملات پیشرفته می باشد که در آن  هکر با ایجاد یک شبکه بی سیم با نام و مشخصات یک شبکه بی سیم عمومی راه اندازی شده در ایستگاه های مترو، فرودگاه ها، دانشگاهها و ... اقدام به حمله می کند و با اتصال قربانی به این شبکه جعلی، اطلاعات قربانی دزدیده میشوند

·         حملات  email phishing معمولا حاوی لینک مراجعه به وب سایتی می باشد که آن وب سایت به یک بد افزار آلوده می باشد که پس از کلیک کردن بروی لینک و ورود به صفحه، قربانی نیز آلوده به بد افزار می شود.Phishing همانند تکنیک های مهندسی اجتماعی عمل کرده و اقدام به فریب کاربران می کند و همچنین از نقاط ضعف امنیتی وب سایت ها استفاده می کند که جهت مقابله با رشد حوادث فیشینگ نیاز به آموزش کاربر، آگاهی عمومی و اقدامات امنیتی فنی دارد.

 

 

 

مهندسین شبکه افزار سایان

  • اهواز - خیابان وهابی خ 19 شرقی پلاک 20
  • 061-33386011-13
  • 061-33374556
  • spambots

پیشنهادات خود را با ما در میان بگذارید

  ایمیل ارسال نشد   ایمیل با موفقیت ارسال شد