وبسایتهای آلوده به بدافزار انواع مختلفی دارند و به روش های مختلفی شما را آلوده میکنند. شاید شما چون فکر میکنید تنها در صفحات امن و شناخته شدهای همچون Wikipedia.org یا CNN.com جستجو میکنید، نیازی به نگرانی درباره وبسایتهای فیشینگ و وبسایتهای مشابه به آن ندارید.ما در این مقاله انواع مختلفی از وبسایتهای فیشینگ و چگونگی عملکرد آنها را شرح می دهیم.
اما فراموش نکنید که %76 از همین سایتها، دارای آسیبپذیری هستند.
برای نشان دادن وخامت اوضاع میتوان گفت، %9 از سایتها حاوی آسیبپذیریهایی هستند که واقعاً جدی بوده، و به مهاجمان این امکان را میدهند تا رایانه بازدید کننده را آلوده کرده، بدافزار دانلود کنند و یا حتی فایل روی آن را اجرا نمایند.
بنابراین از هر 11 سایتی که بازدید میکنید، ۱ سایت این آسیبپذیریها را دارد. نمودار زیر، انواع سایتهایی را نشان میدهد که بیشترین حفرههای اطلاعاتی را داشتهاند. برخی از آنها سایتهایی عمومی هستند و تقریباً هر کاربری از آنها بازدید میکند.
تجربه شخصی ما از وبسایتهای خرابکار:
با توجه به اینکه سایتهای قماربازی، موضوعات غیراخلاقی، بازی و فیلم از پر بازدیدترین سایتها هستند بنابراین برای مجرمان سایبری هدفهای جالب توجهی هستند.
خود شما نیز احتمالاً با این نوع سایتها سروکار داشتهاید. وقتی از یک صفحه تورنتینگ (torrenting) بازدید میکنید، اگر بر روی لینکی کلیک کنید، بدون اینکه شما بخواهید 2 یا 3 پنجره مرورگر در صفحه سیستم شما بهصورت پاپآپ بالا میآید.
تورنت، یک شبکه اشتراکگذاری فایل بین کاربران است. یعنی کاربران این شبکه، فایلهایی را که بر روی کامپیوترشان دارند، با کمک یک برنامه خاص بین بقیه کاربران به اشتراک میگذارند. حال بعضی سایتها مانند torrentz.com به شما این امکان را میدهند که بر روی کامپیوترهای هزاران نفر در سراسر جهان جستجو کنید و از روی کامپیوترشان فایلهایی را که در بسیاری از جاها پیدا نمیشوند دانلود کنید.
فایل تورنت فایلی چند کیلوبایتی است با پسوند «torrent.» که اطلاعات فایلی که به اشتراک گذاشته میشود را به همراه دارد. کارگزار بیتتورنت این اطلاعات را خوانده و کاربر را از طریق یک یا چند سرور به کاربران دیگری که این فایل را به اشتراک گذاشتهاند متصل میکند. اطلاعات سرورهایی که کاربران را به یکدیگر متصل میکنند بر روی همین فایل است که البته بعداً در کلاینت قابلتغییر است.
در موارد دیگر، شما پاپآپهایی دریافت میکنید که از شما میخواهند یک نرمافزار جدید یا یک افزونه مرورگر دانلود کنید.
این سایتها تنها بر دو اساس اجرا میشوند: “ترافیک” و “کلیکهای تبلیغاتی”.
برای به حداکثر رساندن این دو، آنها از نرمافزارهای سایه و شبکههای تبلیغاتی استفاده میکنند تا از شما، کلیکهای بیشتری در جهت اهداف پلید خود بیرون بکشند.
به جز چند استثنا، این نوع از کسب و کارهای آنلاین، انگیزه اقتصادی کمی برای امن نگهداشتن زیرساختهایشان دارند، بنابراین از هر پلاگین نرمافزاری که در دسترس باشد، استفاده میکنند تا ترافیک و کلیکهای کاربری خود را به حداکثر برسانند.
هکرهای خرابکار، پس از آن از ضعف پلاگینها سوءاستفاده میکنند تا تبلیغات و پاپآپهایی را که پس از آن موجب آسیب شما یعنی کاربر نهایی میشوند، آلوده کنند.
حملات درایو-بای-دانلود (drive-by-downloads) و تهدیدات مشابه به آن، تهدیدهایی هستند که باید مسدود شوند.
بیشتر تهدیدات بدافزاری که سایر محصولات امنیتی موجود از قبیل آنتی ویروسها و ضد بدافزارها آنها را مسدود میکنند، بهصورت خاص برای کلیکهای میانبر طراحی شدهاند که خود را بهطور خودکار بر روی سیستم کاربران نصب میکنند. این نوع از حملات محبوب و پرطرفدار هستند زیرا مانع بزرگتر، یعنی کلیک را پشت سر میگذارند.
با حذف کلیکهای بسیار، بدافزار درایو-بای (drive-by) میتواند ده یا بیست برابر، کاربران بیشتری را آلوده کند، و این یعنی ده یا بیست برابر درآمد بیشتر.
روند رو به رشد حملات مبتنی بر وب در آینده
حملات مبتنی بر وب، به دلیل سادگی نسبی و سر راست بودن آنها، تنها حملاتی هستند که در آینده با رشد روزافزون آنها مواجه خواهیم شد.
اپلیکیشنهای وب بهطور خاص، اولین اهداف هستند، چرا که اغلب اطلاعات کاربری مانند کارتهای اعتباری، جزییات ورود، فایلهای ذخیرهشده در فضای ابری را ارزیابی کرده و سپس به ماشینهای چندگانه انتشار میدهند.
چگونه یک وبسایت فیشینگ یا خرابکار، رایانه شخصی شما را به خطر میاندازد؟
بیشتر مردم گمان میکنند که با عدم کلیک بر روی لینکهای عجیب و غریب و یا عدم دانلود برنامه از سایتهای مشکوک، میتوانند از آلوده شدن خود به بدافزارها جلوگیری کنند. خوب، شاید برای آنها خوشایند نباشد، اما باید از خواب بیدار شوند زیرا چندین راه برای آلوده کردن رایانه شما بدون نیاز به کلیک، وجود دارد.
وبسایتهای آلوده به بدافزار
1. کیتهای بهرهبرداری و حملات درایو-بای-دانلود
زمانی که از یک سایت مشخص بازدید میکنید یک درایو بای دانلود، بهطور خودکار، بدافزاری را بر روی رایانه شخصی شما دانلود میکند. بدافزار خود را دانلود و نصب میکند، بدون اینکه در هیچ مرحلهای از شما اجازه بگیرد.
چگونه میتواند این کار را انجام دهد؟
این کار را از طریق کیتهای بهرهبرداری (exploit kits) و نرمافزارهای قدیمی و بهروزرسانی نشده انجام میدهد. یک کیت بهرهبرداری درون صفحات وب پنهان میشود، رایانه بازدید کنندگان را پویش کرده و به دنبال هر نرمافزار بهروزرسانی نشده و آسیبپذیر احتمالی میگردد.
زمانی که یک آسیبپذیری پیدا کند، بدافزار را بر روی رایانه قربانی دانلود میکند؛ این بدافزار بهگونهای طراحیشده که از یک آسیبپذیری خاص، سوءاستفاده و بهرهبرداری کند.
2. آلودگیهای جاوا اسکریپت
جاوا اسکریپت یک زبان برنامهنویسی است که بخش عظیمی از اینترنت ازجمله Google Docs و بسیاری از اپلیکیشنهای دیگر را در دست دارد. البته مانند هر فناوری دیگری، دارای باگها و آسیبپذیریهایی است که به هکرهای خرابکار اجازه سوءاستفاده میدهد.
صفحاتی که با بدافزار جاوا اسکریپت آلوده شدهاند مشابه با کیتهای بهرهبرداری، با دانلود فایلی با پسوند ”js [.]” که رایانه بعداً آن را اجرا خواهد کرد، منجر به آلودگی دستگاه شما میشوند.
زمانی که بدافزار، کد را بر روی رایانه شما اجرا میکند، میتواند انواع دیگری از بدافزارها را دانلود کرده یا اینکه رایانه شما را به مسیرهای اینترنتی دیگر منحرف کند.
![آلودگیهای جاوا اسکریپت با دانلود فایلی با پسوند "js [.]" که بعدا رایانه اجرا خواهد کرد.](/wp-content/uploads/2018/02/P70.jpg)
3. تبلیغات آزاردهنده
تبلیغات، امروزه همهجا هستند و آنهایی که تبلیغاتشان را چند برابر نکنند، از شانس کمتری برای موفقیت در بازارها برخوردارند.
شبکههای تبلیغاتی مسئول دادن این تبلیغات به رایانه کاربران هستند و کمپینهای بزرگ تبلیغاتی میتوانند به میلیونها کاربر، دسترسی داشته باشند.
این تبلیغات، هدف آسانی برای هکرهای خرابکار هستند، بسیاری از هکرها میتوانند یکی از این تبلیغات را به سرقت ببرند، سپس این شبکه تبلیغاتی را بهطور گسترده و سراسری منتشر کنند و کاربران نا آگاهی را که بر روی این لینک کلیک میکنند آلوده سازند.
در مواقع دیگر، ممکن است هکر خرابکار، خود تبلیغی را تولید و سپس انتشار دهد. اولین نسخه آن معمولاً پاک و بدون بدافزار است، اما بعد تبلیغ را تغییر داده و آن را به بدافزار آلوده میکند.
برای اینکه به شما گستردگی این پدیده را نشان دهیم، در گوگل سرچ کنید و ببینید دقیقاً چه تعدادی از تبلیغات در سال گذشته مسدود شدهاند.
4. تزریقهای URL
وردپرس (WordPress) نرمافزاری است که نزدیک به 60% از وبلاگها و وبسایتها را پایهگذاری میکند و بسیار جلوتر از رقبایش قرار دارد. متأسفانه، معماری وردپرس، با آسیبپذیریهایی پیوند خورده که به هکر اجازه میدهد تا URLهای خرابکارانه یا حتی همه صفحات آلوده خود را جاسازی کرده، و از طریق صفحه قربانی انتشار دهد.
این URLها و صفحات میتوانند کد را بر روی رایانه شما اجرا کنند و شما را به سایر وبسایتهای مخرب یا وبسایتهای فیشینگ، یا دانلود بدافزار هدایت کنند.
5. تغییر مسیر خرابکارانه
اگر یک هکر خرابکار به سایت شما کاملاً نفوذ کند، میتواند کد آن را تغییر دهد و بهصورت خودکار، کاربر را به صفحهای ببرد که آلوده به بدافزار یا فیشینگ است.
“redirect checker” ابزاری بسیار سودمند در کمک به یافتن این نوع رفتارهای خرابکارانه است.
6. سارقان مرورگر
برخی سایتها میتوانند با سرقت مرورگر (browser hijacker) شما را آلوده کنند. بدافزاری در این زمینه طراحیشده تا مرورگر شما را به خطر بیندازد و مرتباً شما را به سایتهای دیگر بفرستد، اطلاعات شخصی شما را جمعآوری کند، یا از مرورگر شما بهعنوان دروازهای برای روتکیتها (rootkit)ها یا کرمهای رایانهای استفاده کند.
وبسایتهای فیشینگ چه هستند؟
نوع دیگری از تهدیدات که هکرهای خرابکار از آنها استفاده میکنند، وبسایتهای فیشینگ هستند. برخلاف روش آلودگی به بدافزار که در بالا گفته شد، فیشینگ بر مهندسی روانشناختی-اجتماعی تکیه دارد، بهگونهای که کاربر خودش با رضایت کامل اطلاعاتش را به مجرم سایبری میدهد.
شناسایی سایتهای فیشینگ ممکن است دشوار باشد، زیرا آنها بسیار شبیه به نوع اصلی خود هستند. فروشگاههای اینترنتی همچون دیجی کالا (DjKala) یا ای. بی (eBay) اهداف اصلی هستند، زیرا کاربرانی که از این سایتها بازدید میکنند، تمایل به خرید دارند و تقریبا همه آنها با کارت بانکی خود این خرید را انجام میدهند.
در اینجا مقایسهای بین سایت تقلبی ای.بای (ebay) و نمونه واقعی آن انجام شده است.
در اینجا انواع مختلفی از وبسایتهای فیشینگ و چگونگی عملکرد آنها آمده است:
1. تایپواسکواتینگ
تایپو اسکواتینگ (Typosquatting) که آن را با نام “دزدی برند” هم میشناسند، زمانی اتفاق میافتد که کاربر سهوا در تایپ اسم سایت مورد نظر خود دچار اشتباه میشود.
هنگامیکه کاربر آدرسی را اشتباه وارد میکند؛ هکرها این امکان را مییابند که با هدایت کاربر به سایتهای موردنظر خود که از طریق آن آدرس اشتباه باز میشوند، وی را مورد هجوم و سوءاستفاده قرار دهند.
هر زمان که شما نام صفحه را بهصورت دستی در نوار جستجو تایپ کنید، مثلاً www.example.com، این احتمال وجود دارد که هر دفعه آدرس را طوری دیگر بنویسید، مثلا www.examlep.com.
یک هکر از این اشتباهات کوچک در فرایندی به نام تایپواسکواتینگ، سوءاستفاده میکند. تایپواسکواتینگ شامل ساختن وبسایتهای فیشینگ با نامهای مشابه با نام سایت هدف میباشد و امیدوار است کسی که آدرس را در نوار جستجو تایپ میکند اشتباه کند و درنهایت به سایت مجرم سایبری وارد شود.
با ورود به این سایتها، او از تمام راههایی که در بالا گفته شد، میتواند شما را آلوده کند.
2. سایه زدن دامنه
سایه زدن دامنه (Domain shadowing)، زمانی اتفاق میافتد که یک هکر خرابکار با اعتبار ورود مدیران سایت واردشده، مثلاً بهعنوان یکی از صاحبان وردپرس، و بعد زیر دامنههایی میسازد که بازدیدکنندگان را به سایت هکر هدایت میکنند. سایه زدن دامنه، نه تنها کاربران را از یک دامنه قانونی به یک دامنه مخرب هدایت میکند، بلکه از فیلترهای معتبر عبور کرده و ترافیک را قانونی و مجاز نشان میدهد.
3. جعل سایت
جعل سایت (site spoofing) به فیشینگ شباهت بسیار دارد. بزرگترین تفاوت در هدف و نیت آنها است. یک جاعل کسی است که سایت را در عمل، مشابه با نمونه موجود آن، جعل میکند تا کاربران نتوانند این دو را از هم تشخیص دهند. البته این پایان کار نیست چراکه جاعل قصد ایجاد سردرگمی و اشتباه را داشته و اصولاً قصدش تخریب برند است.
چگونه یک وبسایت را برای یافتن بدافزار یا اقدامات فیشینگ بررسی کنیم.
بهترین راه برای حفاظت از خود در برابر وبسایتهای فیشینگ و خرابکارانه، نحوه شناسایی یکی از آنها و همچنین فراهم آوردن تمام ابزارهای موردنیاز برای این شناسایی میباشد؛ اینجاست که کار تمام میشود. در ادامه نکات مفیدی ارائه میشود که به شما در این زمینه کمک خواهند کرد.
1. بررسی کنید که URL صفحه، درست باشد.
وبسایتهای فیشینگ در اصل، از ساختار URLای استفاده میکنند که مشابه با صفحه وب هدف باشد. برای مثال، ممکن است نام لینک به جای www.facebook.com، بهصورت www.facebok[.]com باشد.
برای این منظور، بهشدت توصیه میکنیم، همیشه نگاهی به URL صفحه بیندازید و بررسی کنید همه چیز عادی باشد.
2. بیشتر وبسایتهای مخرب از SSL یا HTTPS استفاده نمیکنند.
SSL، کوتاه شده عبارت لایه درگاه امنیتی (Secure Socket Layer) و یک تأییدیه امنیتی برای رمزگذاری ارتباطات، بین مرورگر و سایت سرور میباشد. به همین دلیل وبسایتهای مخرب، و حتی وبسایتهای فیشینگ از SSL استفاده نمیکنند چراکه زحمت و هزینه بیشتری را به آنها تحمیل میکند.
هر جا وارد یک سایت جدید شدید که قبلاً چیزی در مورد آن نشنیدهاید، به ساختار URL آن نگاهی بیندازید آیا با //:https شروع میشود یا خیر. اگر با این عبارت شروع میشود؛ پس یعنی سایت امن است و ارتباط بین مرورگر شما و سرور رمزگذاری شده است.
3. VirusTotal وبسایت را پویش کرده و به شما میگوید آیا آن مخرب هست یا خیر؟
VirusTotal، سرویسی رایگان است که لینک URL یا فایل را با دهها برنامه آنتیویروس تجزیه و تحلیل کرده و به دنبال لینکهای مخرب و بدافزاری میگردد.
هر جا که از امن بودن یا نبودن سایتی اطمینان ندارید، میتوانید بهسادگی URL آن را برای اسکن به برنامه VirusTotal برده و ببینید آیا مورد مشکوکی در آن یافت میشود یا خیر.
این برنامه کاربرد بسیار آسانی دارد و مهمتر از همه اینکه، رایگان است.
4. سرویس Web of Trust فیلتری رایج برای اطمینان از صحت آدرسهای اینترنتی.
Web of Trust با افزونه مرورگر خود یعنی myWOT، نظرات میلیونها کاربر را در رابطه با میزان اعتبار یک آدرس اینترنتی برای سایر کاربران به اشتراک میگذارد. این کار به شما یک پایگاه داده از اطلاعات جمعی مردمی میدهد تا از میزان اطمینان یک سایت مطلع شوید.
زمانی که با یک سایت ناشناس مواجه میشوید، WoT این مطلب را به شما خاطر نشان خواهد کرد، بنابراین میتوانید آمادگی مقابله با آن را کسب کنید.
نکته مهم: پیش از آنکه افزونه را دانلود کنید، بهتر است یادآور شویم که حدود چندماه پیش myWOT به دلیل اینکه دادههای کاربران را بهخوبی پنهان نکرده بود، محکوم شد و همین امر باعث حذف آن از کروم و فایرفاکس گردید.
پسازآن، این افزونه دوباره در هردوی این نرمافزارها انتشار یافت، به عبارتی میتوان گفت که از اتهامات وارده تبرئه شده است.
5. از یک مسدودکننده تبلیغات، استفاده کنید.
اگر شما نگران تبلیغات مخرب (malvertising) هستید، میتوانید یک مسدودکننده تبلیغ (adblocker) بر رایانه خود نصب کنید. این نرمافزار تقریباً از تمام تبلیغات ازجمله انواع مخرب آن، بر روی صفحاتی که از آنها بازدید میکنید، ممانعت به عمل میآورد.
6. تمام نرمافزارهای خود را بهروز نگهدارید.
وبسایتهای مخرب یا وبسایتهای آلوده به بدافزار با کیتهای بهرهبرداری تعبیه شده در آنها، از آسیبپذیری نرمافزار شما که درواقع دروازهای برای ورود سایر آلودگیها به رایانه شماست سوءاستفاده میکنند. بهروز نگهداشتن نرمافزار میتواند دردسری جدی باشد که شامل پاپآپهای بهروز رسانی است.
7. راهکار فیلتر کردن ترافیک میتواند شما را از وبسایتهای آلوده به بدافزار حفظ کند.
برنامههای فیلتر ترافیک، ترافیکهای ورودی و خروجی رایانه شما را پویش میکنند.
برای ترافیکهای ورودی (HTTP، HTTPS، DNS)، این برنامه به دنبال انواع شناختهشده و ناشناخته از بدافزار میگردد که به دنبال نفوذ به رایانه شما بوده و نرمافزار بهمحض شناسایی، آنها را مسدود میکند.
برای ترافیکهای خروجی، فیلتر به دنبال بستههای اطلاعاتی که رایانه شما به وبسایتهای مخرب ناشناخته و یا سایر سایتهای مشکوک میفرستد میگردد، سپس ارتباط بین رایانه شما و سایت سرور را قطع میکند.
8. مراقب لینکهای کوتاه شده باشید.
هکرهای مخرب از کوتاه کنندههای آدرس (URL shorteners) همچون bitly یا TinyURL برای پنهان کردن لینکهای مخرب خود استفاده میکنند. در سایر موارد، کوتاه کنندههای URL لینک اصلی را غیر واضح و مبهم میکنند تا سایر روشهای امنیتی برای شناسایی بدافزار نهفته در صفحه، با مشکل مواجه شوند.
خوشبختانه، ابزارهایی انحصاری وجود دارند که میتوانند این لینکهای کوتاه شده را بررسی کنند تا شما را از امنیت URL مطلع کنند.
فهرستی از شناساگرهای URL، که به شما در این زمینه کمک میکنند در زیر آورده شدهاند:
/http://www.checkshorturl.com
/http://www.getlinkinfo.com
/http://untiny.com
/http://www.linkexpander.com
هزینه یک آلودگی در اثر استفاده از سایتهای مخرب
بدافزاری که از طریق یک صفحه آلوده و مخرب منتشر میشود، میتواند تأثیر جدی مالی و واقعی بر روی شرکت و کاربران عادی داشته باشد.
هزینه تبلیغات بر روی این وبسایتهای آلوده به بدافزار، ارزان هستند و یک مجرم سایبری میتواند فقط با ۱۰۰۰ تومان در حدود 1000 کاربر را با هر نوع بدافزاری آلوده کند. یعنی هزینه آلوده کردن هر کاربر فقط ۱ تومان.
در حال حاضر باج افزارها در میان مجرمان سایبری بسیار محبوب و کارآمد هستند چراکه بیش از 50% از کسب و کارهای آلودهشده به باجافزار، بین ۵۰ تا ۲۰۰ میلیون تومان، برای بازیابی فایلهای رمزگذاری شده، میپردازند.
ما بیشتر زمان خود را صرف جستجو در اینترنت میکنیم و این کار ما را در معرض آلودگیهای بدافزاری قرار میدهد که حتی فکرش را هم نمیکنیم که وجود داشته باشند.
آیا تا به حال با بازدید از یک صفحه مخرب یا مشکوک، آلودهشدهاید؟ اگر جواب شما مثبت است، چگونه این مشکل حل کردید؟ ما منتظر شنیدن نظرات شما هستیم.