فایل PDF ای که بعد از دانلود پسوردهای شما را می دزدد + تشخیص صفحات فیشینگ

دسامبر 12, 2023

0 خواندن این مطلب 3 دقیقه زمان میبرد

برخی از نشانه های هشدار دهنده ای که کاربران معمولا هنگام حمله فیشینگ با آن روبرو می شوند عبارتند از نام دامنه هایی که ظاهری مشکوک دارند و یا وب سایت هایی که از پروتکل HTTPS استفاده نمی کنند. بنابراین این موارد خیلی ساده قابل شناسایی است و کاربران مبتدی هم متوجه خواهند شد ولی متاسفانه هکرها محتوای مخرب خود را در سایت های معتبری از طریق استفاده از سرویس های ابری معروف مانند Google Cloud یا Microsoft Azure مخفی میکنند تا بتوانند برای میزبانی صفحات فیشینگ خود و شانس رسیدن به مشتری از آنها سوء استفاده کنند.

گزارشی از شرکت امنیت سایبری چک پوینت Check Point مبنی بر شناسایی یک حمله فیشینگ که با بارگذاری یک فایل PDF روی سرویس گوگل درایو Google Drive شروع می شود، منتشر شده است که حاوی یک لینک به صفحه فیشینگ می باشد.

طبق گزارش چک پوینت این فایل PDF شبیه یک لوگوی Microsoft SharePoint طراحی شده و حاوی لینک جهت هدایت کاربر به صفحه فیشینگ می باشد.

این صفحه فیشینگ در دامنه ای به نام storage.googleapis.com قرار دارد، این سایت در واقع از وب سایت هایی است که معمولا هکرها برای حملات فیشینگ و بدافزارهای دیگر از آن سوء استفاده می کنند. با یک نام SharePoint Online و علامت تجاری این صفحه از کاربر می خواهد که با اطلاعات اکانت Office 365 یا شناسه و آی دی ID شرکت وارد شود.

بعد از انتخاب یکی از این دو گزینه ها، کاربر به پنجره ورود هدایت خواهد شد که درخواست وارد کردن ایمیل مایکروسافت اوت لوک Microsoft Outlook و پسورد را دارد. پس از ورود کاربر فکر می کند که PDF موجود وابسته به یک شرکت جهانی است لذا در تمام این مراحل کاربر شک نمی کند و متوجه صفحه فیشینگ نمی شود به خصوص زمانی که از سرویس هایی مانند Google Cloud استفاده شود یا به عبارت بهتر سوء استفاده شود.

استفاده از سرویس های ابری در حال حاضر به یکی از روش های رایج در بین هکرها تبدیل شده است و از آنجایی که این شرکت ها معمولا با اهداف قانونی مورد استفاده قرار میگیرند لذا کار شناسایی برای کاربران و مسئولین امنیتی شرکت ها جهت مقابله و جلوگیری آن دشوار است.

طبق بررسی ها ظاهرا این فیشینگ از یک آدرس IP اوکراینی استفاده می کند که از اکانت های متعددی بهره می برد و هنوز مشخص نشده که هکر یک نفر است یا مجموعه ای از هکرها در این مورد دست دارند.

اما شاید سوالی پیش بیاید که چرا گوگل اجازه می دهد که این اتفاق در این پلتفرم رخ دهد، در واقع گوگل با بیشتر کاربران به طور یکسان تعامل دارد و اجازه آپلود فایل ها را بدون بررسی محتوا می دهد. هکرها از سرویس Google Cloud Functions نیز سوء استفاده کردند در حقیقت کدهای برنامه نویسی شده را در این فضای ابری می توانستند اجرا کنند لذا به محض اینکه گوگل متوجه این سوء استفاده هکرهای فیشینگ شد این پروژه را در ژانویه 2020 متوقف و در نتیجه تمامی URL ها مرتبط با این پروژه به حالت تعلیق درآمد و همچنین گوگل این صفحات فیشینگ را به سرعت تایید و به حالت تعلیق در آورد.

در برابر این حملات فیشینگ چکار کنیم؟

شاید خیلی از ماها دچار سوء استفاده ای که در گزارش بالا آمد نشویم چون ممکنه اصلا با سرویس های ابری کاری نداشته باشیم اما در کل باید با صفحات فیشینگ آشنا باشید، صفحاتی که کاملا شبیه صفحات اصلی است. حالا در ادامه تجربیات شخصی خودم را هم با شما کاربران محترم دلگرم به اشتراک می گذارم.

هر چند صفحات فیشینگ یک روش سوء استفاده قدیمی است اما متاسفانه هنوز خیلی از افراد متوجه آن نیستند و به راحتی اطلاعات خود را در اختیار دیگران قرار میدهند بدون اینکه متوجه شوند بنابراین اولین کاری که باید انجام داد این است که روی هر لینکی که دیدیدم کلیک نکنیم به عنوان مثال می خواهید برای یک شرکت یا موسسه ای و … به صورت اینترنتی پول واریز کنید لذا نباید برای انتقال وجه روی هر لینکی که ما را به صفحه ی پرداخت هدایت می کند کلیک نمود.

اگر بخواهم یک نمونه بارز دیگر را مثال بزنم پیامکی است که برای قطع شدن یارانه اس ام اس می شود و در متن پیامک یک لینکی می بینید که از شما می خواهد برای ثبت نام روی آن کلیک کنید تا یارانه شما قطع نشود. بعد از ورود به صفحه هدف از شما می خواهد تا اطلاعاتی را مانند اطلاعات کارت بانکی خود را وارد کنید مثل شماره کارت و cvv2 و رمز دوم و … (هر چند با رمز دوم پویا این مشکلات تا حد زیادی برطرف شده است)

شاید بپرسید چطور می توان تشخیص داد که فلان صفحه یک صفحه فیشینگ است یا نه؟

اولین نکته این است که بعد از باز کردن لینک باید حتما ابتداء آن لینک با https شروع شود نه http و همچنین در صفحات اصلی یک آیکون قفل سبز رنگ را خواهید دید.
از این لینک برای شناسایی و تشخیص صفحات فیشینگ استفاده کنید، کافیه لینک صفحه مورد نظر را وارد فیلدی که در آن سایت می بینید کرده و کلید بررسی را بزنید.

این ها ساده ترین حداقل روش هایی است که باید در رابطه با صفحات فیشینگ مد نظر داشت.