هشدار امنیتی: فکر میکنید در برابر این نوع فیشینگ هم مصونیت دارید؟
اگر فکر میکنید که با توجه به این که حواستان جمع است و همه چیز را چک میکنید هیچ وقت قربانی فیشینگ نخواهید شد، بهتر است زیاد عجله نکنید! تمام مراقبتها و راهنماییهایی که تا به حال برای جلوگیری از ورود اطلاعات در سایتهای تقلبی و غیرواقعی شنیده بودید، هنوز هم لازم است. اما پدیدهای که امروز به شما معرفی میکنیم نیاز به دقت بسیار بیشتری دارد.
برای شروع کار چطور است که از اپل شروع کنیم و سری به سایت این کمپانی بزنیم: https://www.apple.com خب مثل این که سایت اپل در حال حاضر با مشکلی مواجه شده است. چطور است یک بار دیگر امتحان کنیم: https://www.apple.com گویا مشکل برطرف شد! حالا اگر دوباره لینک اول را امتحان کنیم چطور؟!
فیشینگ (به انگلیسی: Phishing) به تلاش برای بدست آوردن اطلاعاتی مانند نام کاربری، گذرواژه، اطلاعات حساب بانکی و… از طریق جعل یک وبسایت، آدرس ایمیل و… گفته میشود. و یا به عبارت ساده تر وقتی شخصی سعی میکند شما را فریب دهد تا اطلاعات شخصیتان را در اختیارش بگذارید، یک حمله فیشینگ اتفاق میافتد. شبکههای اجتماعی و وبسایتهای پرداخت آنلاین از جمله اهداف حملات فیشینگ هستند. علاوه بر آن، ایمیلهایی که با این هدف ارسال میشوند و حاوی پیوندی به یک وبسایت هستند در اکثر موارد حاوی بدافزار هستند.
اما چطور چنین چیزی ممکن است؟ مگر در فیشینگ نباید نشانی سایت عجیب و غریب و با حروف اشتباهی و یا شبیه به دامنهٔ اصلی باشد؟ مثل bankpasargod.com به جای bankpasargad.com اما در مثال بالا هر دو سایت دقیقا عبارت apple.com را نشان میدهند و از همه جالبتر هر دوی آن ها با پروتکل https معتبر امن شدهاند! اگر کسی لینک بالایی را برای شما میفرستاد و در آن صفحه از شما رمز عبور و نام کاربریتان را میخواست شما پس از چک کردن دامنه و قفل سبز https به طور کامل به آن اطمینان میکردید. توجه داشته باشید که حتی اگر ماوس خود را بر روی لینک نگه دارید در بخش پایین مرورگر هم چیزی که مشاهده میکنید https://apple.com است.
خب حالا واقعا چطور چنین چیزی ممکن است؟
کاری که در اینجا انجام میشود در واقع استفاده از پونیکد که دربارهٔ آن پیشتر در اینفو نوشته بودیم برای تولید کاراکترهای یونی کد بر اساس کاراکترهای ASCII است. استاندارد جهانی نامگذاری برای دامنههای اینترنتی از ابتدا بر اساس ASCII بود. تنها کاراکترهایی که شما مجاز به استفاده برای ثبت دامنهٔ سایت خود بودید حروف لاتین و اعداد و خط تیره بود. اما وقتی که دامنههای جهانی مانند چینی و ژاپنی و فارسی و اموجیها وارد دنیای اینترنت شدند، راه حل استفاده از پونیکد بود که کارش ترجمهٔ کاراکترهای یونیکد به اسکی است. نتیجه همواره چیزی شبیه به https://www.xn--80ak6aa92e.com است که در واقع همان دامنهٔ اپل تقلبی ماست. امتحانش کنید و ببینید که چطور به طور جادویی به اپل دات کام تبدیل میشود!
مرورگرها برای راحت شدن این فرایند به طور خودکار این عبارت های عجیب و غریب را به معادلهای یونیکدشان تبدیل میکنند که ظاهر کار حفظ شود.
البته در حال حاضر این تبدیل خودکار فقط در گوگلکروم و فایرفاکس رخ میدهد و اینترنتاکسپلورر و سافاری چنین مشکلی ندارند و همان متن دراز و بیمعنی را نشان میدهند.
جالب است که اگر یکی از کاراکترهای به کار رفته در دامنهٔ اینترنتی لاتین نباشد مانند a سیریلیک، کروم و فایرفاکس آن را به صورت –xn نشان میدهند، اما اگر تمام کاراکترهای یک دامنه از حروف غیر لاتین باشند و توسط پونیکد تولید شوند، گوگلکروم و فایرفاکس آن را به صورت یونیکد نمایش میدهند. در دامنهٔ اپل تقلبی در بالا، چون تمام کاراکترها سیریلیک هستند و در واقع کاراکترهای پایهٔ لاتین نیستند، حقه و فریب کامل میشود.
آیا واقعا اینقدر خطرناک است؟
بله! تصور کنید که در یک سایت ایرانی مشغول خرید اینترنتی هستید و در انتهای پست به دکمهٔ خرید از طریق کارت های شتاب برمیخورید. وقتی ماوس را روی دکمه نگه میدارید، لینک درست است و وقتی وارد صفحهٔ پرداخت میشوید، هم نشانی سایت کاملا درست است و هم پروتکل https سبز و معتبر است. خب شما از کجا باید حدس بزنید که اینجا محل شک کردن است؟ به طور قطع از هیچ جا! تا قبل از آشکار شدن استفاده از این روش برای هک و به دست آوردن اطلاعات کاربری، هیچ دلیلی برای شک کردن به این مورد نبود. در دیگر موارد، شما میتوانستید با اندکی دقت به راحتی نشانی سایت را چک کرده و همچنین در صورت فعال نبودن https به امنیت خرید و یا حفط اطلاعات شک کنید. اما در اینجا همه چیز به نظر درست میرسد.
یعنی همهٔ ما محکوم به نابودی هستیم و هیچ راهی نیست؟ 🙁
بود یا نابودیش را نمیدانیم! اما این را میدانیم که برای سافاری و اینترنت اکسپلورر مشکلی برای شما پیش نمیاد. برای فایرفاکس هم تا لحظاتی دیگر راهحلی به شما ارائه میکنیم. در مورد گوگل کروم فعلا باید مواظب باشید و خودتان به طور دستی نشانیها و اعتبار https را بررسی کنید.
راهحل برای فایرفاکس:
یک تب جدید باز کنید و این عبارت را تایپ کنید: about:config فایرفاکس ممکن است به شما هشدار بدهد که دستکاری کردن این بخش را بیخیال شوید. اما باور بفرمایید که ما فقط میخواهیم قابلیت خودکار پونیکد را غیرفعال کنیم و کاری به چیز دیگری نداریم. در مرحلهٔ بعد network.IDN_show_punycode را از طریق کادر جستجوی بالا پیدا کنید. با دوبار کلیک بر روی آن مقدار پیشفرضش را به True تغییر دهید. حالا دوباره به https://www.apple.com سر بزنید. گویا مشکل حل شد! 🙂
راهحل (؟) برای گوگلکروم:
همان طور که گفتیم برای گوگلکروم در حال حاضر راهحلی مانند فایرفاکس وجود ندارد. بنابراین بهتر است هر وقت سایتی را به هر طریقی غیر از تایپ کردن با دستان خودتان (مثلا از طریق لینکی در ایمیل، دکمهٔ پرداخت و…) باز کردید و قرار است اطلاعات حساس بانکی و یا رمز عبور و مواردی مانند این را وارد کنید، ابتدا نشانی سایت را از محل آدرس بار کپی کرده و در یک محیط متنی مانند Notepad یا Word پیست کنید. اگر متنی که مشاهده میکنید با –https://xn شروع میشود، تقلبی و جهت سرقت اطلاعات شماست. همچنین میتوانید با زدن F12 و رفتن به بخش Security اعتبار https آن را چک کنید که در آنجا هم اگر با نشانی غیرواقعی مواجه شدید به طور قطع سایتی که در آن هستید و باید تا لحظاتی دیگر آن را ترک کنید، قصد سرقت اطلاعات حساس شما را دارد.
گوگلکروم دسکتاپ در نسخههای +۵۸ این مشکل را شب گذشته بر طرف کرد. بنابراین هر چه زودتر گوگلکروم خود را با رفتن به صفحهٔ About به روز کنید.
از آنجا که این نوع فیشینگ با سوء استفاده از پونیکد جدید است، به هر نحوی که میتوانید به دوستان و همکاران خود اطلاع دهید که متوجه این فریب تازهٔ هکرها و سارقان اینترنتی باشند.