امنیت

فناوری اطلاعات

August 13, 2015
9:46 پنجشنبه، 22ام مردادماه 1394
کد خبر: 72590

موج جدید حملات فیشینگ به کاربران گوگل/ سرقت دیتا با صفحات جعلی

یک شرکت امنیتی اعلام کرد: مهاجمان بار دیگر از اعتماد کاربران به گوگل سوءاستفاده کرده و صفحات آلوده جدیدی را روی سرورهای گوگل بارگذاری کرده‌اند که اطلاعات کاربران را سرقت می کند.
 
شرکت امنیتی و تحقیقاتی Elastica Cloud Threat Labs اولین بار از صفحات آلوده به فیشینگ که روی سرورهای سرویس ابری Google Drive بارگذاری شده بود پرده برداشت.
 
این کمپین فیشینگ شباهت‌های زیادی به موجی از حملات فیشینگ دارد که محققان در ماه مارس ۲۰۱۴ آن را شناسایی کردند؛ در حملات فیشینگ سال میلادی گذشته، کاربران به نسخه جعلی صفحه خدمات آنلاین گوگل وارد شده و با وارد کردن شناسه و رمز عبور خود در واقع اطلاعات حساب‌های کاربری‌شان را دراختیار مهاجمان قرار می‌دادند.
 
اما نکته جالب و پراهمیت آنکه این صفحات جعلی روی پلتفرم گوگل و تحت پروتکل امن HTTPS بارگذاری می‌شدند؛ اما این حمله فیشینگ به‌صورت ایمیلی انجام شده و کاربران با دریافت ایمیلی با عنوان Document به صفحات آلوده و قلابی مهاجمان تغییر مسیر داده می‌شوند.
 
علاوه بر این کدنویسی، این موج جدید از حملات فیشینگ به‌گونه‌ای است که تشخیص قلابی بودن آن برای کاربران عادی و حتی کارشناسان بسیار دشوار بوده و این مساله حاکی از آن است که هکرها پیوسته درحال به‌روز کردن شیوه‌های تهاجم خود هستند و به آسانی ردی از خود به جای نمی‌گذارند.
 
Elastica در گزارشی درباره این آسیب‌پذیری امنیتی نوشت: «استفاده از Google Drive برای میزبانی صفحات فیشینگ به مهاجمان امکان می‌دهد به‌راحتی از اعتماد کاربران به گوگل به نفع خود استفاده کنند.» گوگل بعد از انتشار این گزارش صفحات مورد نظر را از روی سرورهای خود حذف کرد.
 
به گزارش این شرکت امنیت خدمات ابری، مهاجمان به جای صرف زمان و هزینه فراوان برای راه‌اندازی یک حمله فیشینگ ایمیلی از ضعف سرویس Google Drive در ذخیره‌سازی و ارائه محتوی استفاده کرده‌اند. علاوه بر این بارگذاری این صفحات تحت پروتکل امن HTTPS (پروتکلی که هنگام بارگذاری صفحاتی نظیر پرداخت آنلاین مشاهده می‌کنیم) باعث می‌شود کاربران با خیال راحت و بی هیچ شک و گمانی اطلاعات خود را وارد کنند.
 
در این مورد خاص، دسترسی به اطلاعات ورود کاربران خدمات گوگل یک پیروزی بزرگ برای مهاجمان محسوب می‌شود.
 
Elastica در بخش دیگری از گزارش خود نوشت: «مهاجمان برای سواستفاده حداکثری از این آسیب‌پذیری، به‌طور خاص کاربران گوگل را هدف قرار دادند تا از طریق دستیابی به اطلاعات ورود آنها به دامنه گسترده‌ای از خدمات آنلاین گوگل دسترسی یابند، چرا که گوگل از سیستم ورود Single Sign On ) SSO) استفاده می‌کند.»
 
سیستم SSO به این معناست که کاربران با یک بار وارد کردن شناسه و گذرواژه خود به تمام خدمات گوگل مانند ایمیل، سرویس ذخیره‌سازی ابری یا Google+ دسترسی پیدا می‌کنند و لازم نیست برای استفاده از هر سرویس به‌طور جداگانه اطلاعات کاربری خود را وارد کنند.
 
کاربران بعد از دریافت یک ایمیل فیشینگ از آدرس Gmail (آدرسی که مهاجمان کنترل آن را به‌دست گرفته‌اند) به لینکی روی Google Drive وارد شده و صفحه‌ای مشابه صفحه ورود گوگل پیش روی آنها بارگذاری می‌شود. کاربران با وارد کردن اطلاعات کاربری در واقع شناسه و رمز عبور خود را در قالب یک فایل متنی به سرورهای تحت فرمان مهاجمان ارسال می‌کنند. اما این پایان کار نیست و سپس یک صفحه PDF روی مرورگر کاربران بارگذاری می‌شود تا آنها خیال کنند با یک فرآیند معتبر و روزمره سروکار دارند.
 
این ایمیل‌های آلوده به‌وسیله ابزار امنیت آنلاین گوگل شناسایی نمی‌شوند چرا که مبدا ایمیل یک حساب Gmail بوده و لینک درون آن نیز کاربران را به دامنه‌ای تحت میزبانی googledrive.com تغییر مسیر می‌دهد؛ اما در این صفحات آلوده عناصری وجود دارد که باید بیشتر به آن توجه کرد.
 
«با وارد کردن آدرس drive.google.com، گوگل کاربران را به آدرس accounts.google.com تغییر مسیر می‌دهد و صفحه‌ای همراه با این نوشته بارگذاری می‌شود: One Account. All of Google. این درحالیست که صفحه گوگل قلابی پیام متفاوتی را به نمایش می‌گذارد: Google Drive. One Storage. اما بسیاری از کاربران قربانی این حمله فیشینگ به چنین ظرایفی دقت نمی‌کنند.»
 
مهاجمان همچنین چند لایه جاوا اسکریپت را به صفحه فیشینگ خود اضافه می‌کنند؛ صفحه‌ای که اطلاعات کاربری قربانیان را به آدرس hxxp://alarabia[.]my/images/Fresh/performact[.]php ارسال می‌کند.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.