اینفو

هشدار امنیتی: فکر می‌کنید در برابر این نوع فیشینگ هم مصونیت دارید؟

توسط · منتشر شده · بروزرسانی شده

اگر فکر می‌کنید که با توجه به این که حواستان جمع است و همه چیز را چک می‌کنید هیچ وقت قربانی فیشینگ نخواهید شد، بهتر است زیاد عجله نکنید! تمام مراقبت‌ها و راهنمایی‌هایی که تا به حال برای جلوگیری از ورود اطلاعات در سایت‌های تقلبی و غیرواقعی شنیده بودید، هنوز هم لازم است. اما پدیده‌ای که امروز به شما معرفی می‌کنیم نیاز به دقت بسیار بیشتری دارد.

برای شروع کار چطور است که از اپل شروع کنیم و سری به سایت این کمپانی بزنیم: https://www.apple.com خب مثل این که سایت اپل در حال حاضر با مشکلی مواجه شده است. چطور است یک بار دیگر امتحان کنیم: https://www.apple.com گویا مشکل برطرف شد! حالا اگر دوباره لینک اول را امتحان کنیم چطور؟!


فیشینگ (به انگلیسی: Phishing) به تلاش برای بدست آوردن اطلاعاتی مانند نام کاربری، گذرواژه، اطلاعات حساب بانکی و… از طریق جعل یک وب‌سایت، آدرس ایمیل و… گفته می‌شود. و یا به عبارت ساده تر وقتی شخصی سعی می‌کند شما را فریب دهد تا اطلاعات شخصی‌تان را در اختیارش بگذارید، یک حمله فیشینگ اتفاق می‌افتد. شبکه‌های اجتماعی و وب‌سایت‌های پرداخت آنلاین از جمله اهداف حملات فیشینگ هستند. علاوه بر آن، ایمیل‌هایی که با این هدف ارسال می‌شوند و حاوی پیوندی به یک وب‌سایت هستند در اکثر موارد حاوی بدافزار هستند.

اما چطور چنین چیزی ممکن است؟ مگر در فیشینگ نباید نشانی سایت عجیب و غریب و با حروف اشتباهی و یا شبیه به دامنهٔ اصلی باشد؟ مثل bankpasargod.com به جای bankpasargad.com اما در مثال بالا هر دو سایت دقیقا عبارت apple.com را نشان می‌دهند و از همه جالب‌تر هر دوی آن ها با پروتکل https معتبر امن شده‌اند! اگر کسی لینک بالایی را برای شما می‌فرستاد و در آن صفحه از شما رمز عبور و نام کاربری‌تان را می‌خواست شما پس از چک کردن دامنه و قفل سبز https به طور کامل به آن اطمینان می‌کردید. توجه داشته باشید که حتی اگر ماوس خود را بر روی لینک نگه دارید در بخش پایین مرورگر هم چیزی که مشاهده می‌کنید https://apple.com است.

اینفو - هشدار امنیتی مهم: فکر می‌کنید در برابر این نوع فیشینگ هم مصونیت دارید؟

خب حالا واقعا چطور چنین چیزی ممکن است؟

کاری که در اینجا انجام می‌شود در واقع استفاده از پونی‌کد که دربارهٔ آن پیشتر در اینفو نوشته بودیم برای تولید کاراکترهای یونی کد بر اساس کاراکترهای ASCII است. استاندارد جهانی نامگذاری برای دامنه‌های اینترنتی از ابتدا بر اساس ASCII بود. تنها کاراکترهایی که شما مجاز به استفاده برای ثبت دامنهٔ سایت خود بودید حروف لاتین و اعداد و خط تیره بود. اما وقتی که دامنه‌های جهانی مانند چینی و ژاپنی و فارسی و اموجی‌ها وارد دنیای اینترنت شدند، راه حل استفاده از پونی‌کد بود که کارش ترجمهٔ کاراکترهای یونیکد به اسکی است. نتیجه همواره چیزی شبیه به https://www.xn--80ak6aa92e.com است که در واقع همان دامنهٔ اپل تقلبی ماست. امتحانش کنید و ببینید که چطور به طور جادویی به اپل دات کام تبدیل می‌شود!

مرورگرها برای راحت شدن این فرایند به طور خودکار این عبارت های عجیب و غریب را به معادل‌های یونیکدشان تبدیل می‌کنند که ظاهر کار حفظ شود.

البته در حال حاضر این تبدیل خودکار فقط در گوگل‌کروم و فایرفاکس رخ می‌دهد و اینترنت‌اکسپلورر و سافاری چنین مشکلی ندارند و همان متن دراز و بی‌معنی را نشان می‌دهند.

جالب است که اگر یکی از کاراکترهای به کار رفته در دامنهٔ اینترنتی لاتین نباشد مانند a سیریلیک، کروم و فایرفاکس آن را به صورت –xn نشان می‌دهند، اما اگر تمام کاراکترهای یک دامنه از حروف غیر لاتین باشند و توسط پونی‌کد تولید شوند، گوگل‌کروم و فایرفاکس آن را به صورت یونیکد نمایش می‌دهند. در دامنهٔ اپل تقلبی در بالا، چون تمام کاراکترها سیریلیک هستند و در واقع کاراکترهای پایهٔ لاتین نیستند، حقه و فریب کامل می‌شود.

آیا واقعا اینقدر خطرناک است؟

بله! تصور کنید که در یک سایت ایرانی مشغول خرید اینترنتی هستید و در انتهای پست به دکمهٔ خرید از طریق کارت های شتاب برمی‌خورید. وقتی ماوس را روی دکمه نگه می‌دارید، لینک درست است و وقتی وارد صفحهٔ پرداخت می‌شوید، هم نشانی سایت کاملا درست است و هم پروتکل https سبز و معتبر است. خب شما از کجا باید حدس بزنید که اینجا محل شک کردن است؟ به طور قطع از هیچ جا! تا قبل از آشکار شدن استفاده از این روش برای هک و به دست آوردن اطلاعات کاربری، هیچ دلیلی برای شک کردن به این مورد نبود. در دیگر موارد، شما می‌توانستید با اندکی دقت به راحتی نشانی سایت را چک کرده و همچنین در صورت فعال نبودن https به امنیت خرید و یا حفط اطلاعات شک کنید. اما در اینجا همه چیز به نظر درست می‌رسد.

یعنی همهٔ ما محکوم به نابودی هستیم و هیچ راهی نیست؟ 🙁

بود یا نابودیش را نمی‌دانیم! اما این را می‌دانیم که برای سافاری و اینترنت اکسپلورر مشکلی برای شما پیش نمیاد. برای فایرفاکس هم تا لحظاتی دیگر راه‌حلی به شما ارائه می‌کنیم. در مورد گوگل کروم فعلا باید مواظب باشید و خودتان به طور دستی نشانی‌ها و اعتبار https را بررسی کنید.

راه‌حل برای فایرفاکس:

یک تب جدید باز کنید و این عبارت را تایپ کنید: about:config فایرفاکس ممکن است به شما هشدار بدهد که دستکاری کردن این بخش را بی‌خیال شوید. اما باور بفرمایید که ما فقط می‌خواهیم قابلیت خودکار پونی‌کد را غیرفعال کنیم و کاری به چیز دیگری نداریم. در مرحلهٔ بعد network.IDN_show_punycode را از طریق کادر جستجوی بالا پیدا کنید. با دوبار کلیک بر روی آن مقدار پیش‌فرضش را به True تغییر دهید. حالا دوباره به https://www.apple.com سر بزنید. گویا مشکل حل شد! 🙂

راه‌حل (؟) برای گوگل‌کروم:

همان طور که گفتیم برای گوگل‌کروم در حال حاضر راه‌حلی مانند فایرفاکس وجود ندارد. بنابراین بهتر است هر وقت سایتی را به هر طریقی غیر از تایپ کردن با دستان خودتان (مثلا از طریق لینکی در ایمیل، دکمهٔ پرداخت و…) باز کردید و قرار است اطلاعات حساس بانکی و یا رمز عبور و مواردی مانند این را وارد کنید، ابتدا نشانی سایت را از محل آدرس بار کپی کرده و در یک محیط متنی مانند Notepad یا Word پیست کنید. اگر متنی که مشاهده می‌کنید با –https://xn شروع می‌شود، تقلبی و جهت سرقت اطلاعات شماست. همچنین می‌توانید با زدن F12 و رفتن به بخش Security اعتبار https آن را چک کنید که در آنجا هم اگر با نشانی غیرواقعی مواجه شدید به طور قطع سایتی که در آن هستید و باید تا لحظاتی دیگر آن را ترک کنید، قصد سرقت اطلاعات حساس شما را دارد.


گوگل‌کروم دسکتاپ در نسخه‌های +۵۸ این مشکل را شب گذشته بر طرف کرد. بنابراین هر چه زودتر گوگل‌کروم خود را با رفتن به صفحهٔ About به روز کنید.


از آنجا که این نوع فیشینگ با سوء استفاده از پونی‌کد جدید است، به هر نحوی که می‌توانید به دوستان و همکاران خود اطلاع دهید که متوجه این فریب تازهٔ هکرها و سارقان اینترنتی باشند.

برچسب‌ها:

مطالب مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *