چگونه وب‌سایت‌های آلوده به روش‌های غیرمنتظره، شما را آلوده می‌کنند

 

وب‌سایت‌های آلوده به بدافزار انواع مختلفی دارند و به روش های مختلفی شما را آلوده میکنند. شاید شما چون فکر می‌کنید تنها در صفحات امن و شناخته‌ شده‌ای همچون Wikipedia.org یا CNN.com جستجو می‌کنید، نیازی به نگرانی درباره وب‌سایت‌های فیشینگ و وب‌سایت‌های مشابه به آن ندارید.ما در این مقاله انواع مختلفی از وب‌سایت‌های فیشینگ و چگونگی عملکرد آنها را شرح می دهیم.

اما فراموش نکنید که %76 از همین سایت‌ها، دارای آسیب‌پذیری هستند.

برای نشان دادن وخامت اوضاع می‌توان گفت، %9 از سایت‌ها حاوی آسیب‌پذیری‌هایی هستند که واقعاً جدی بوده، و به مهاجمان این امکان را می‌دهند تا رایانه بازدید کننده را آلوده کرده، بدافزار دانلود کنند و یا حتی فایل روی آن را اجرا نمایند.

بنابراین از هر 11 سایتی که بازدید می‌کنید، ۱ سایت این آسیب‌پذیری‌ها را دارد. نمودار زیر، انواع سایت‌هایی را نشان می‌دهد که بیشترین حفره‌های اطلاعاتی را داشته‌اند. برخی از آنها سایت‌هایی عمومی هستند و تقریباً هر کاربری از آنها بازدید می‌کند.

تجربه شخصی ما از وب‌سایت‌های خرابکار:

با توجه به اینکه سایت‌های قماربازی، موضوعات غیراخلاقی، بازی و فیلم از پر بازدیدترین سایت‌ها هستند بنابراین برای مجرمان سایبری هدف‌های جالب توجهی هستند.

خود شما نیز احتمالاً با این نوع سایت‌ها سروکار داشته‌اید. وقتی از یک صفحه تورنتینگ (torrenting) بازدید می‌کنید، اگر بر روی لینکی کلیک کنید، بدون اینکه شما بخواهید 2 یا 3 پنجره مرورگر در صفحه سیستم شما به‌صورت پاپ‌آپ بالا می‌آید.

تورنت، یک شبکه اشتراک‌گذاری فایل بین کاربران است. یعنی کاربران این شبکه، فایل‌هایی را که بر روی کامپیوترشان دارند، با کمک یک برنامه خاص بین بقیه کاربران به اشتراک می‌گذارند. حال بعضی سایت‌ها مانند torrentz.com به شما این امکان را می‌دهند که بر روی کامپیوترهای هزاران نفر در سراسر جهان جستجو کنید و از روی کامپیوترشان فایل‌هایی را که در بسیاری از جاها پیدا نمی‌شوند دانلود کنید.

فایل تورنت فایلی چند کیلوبایتی است با پسوند «torrent.‌» که اطلاعات فایلی که به اشتراک گذاشته می‌شود را به همراه دارد. کارگزار بیت‌تورنت این اطلاعات را خوانده و کاربر را از طریق یک یا چند سرور به کاربران دیگری که این فایل را به اشتراک گذاشته‌اند متصل می‌کند. اطلاعات سرورهایی که کاربران را به یکدیگر متصل می‌کنند بر روی همین فایل است که البته بعداً در کلاینت قابل‌تغییر است.

در موارد دیگر، شما پاپ‌آپ‌هایی دریافت می‌کنید که از شما می‌خواهند یک نرم‌افزار جدید یا یک افزونه مرورگر دانلود کنید.

این سایت‌ها تنها بر دو اساس اجرا می‌شوند: “ترافیک” و “کلیک‌های تبلیغاتی”.

برای به حداکثر رساندن این دو، آنها از نرم‌افزارهای سایه و شبکه‌های تبلیغاتی استفاده می‌کنند تا از شما، کلیک‌های بیشتری در جهت اهداف پلید خود بیرون بکشند.

به‌ جز چند استثنا، این نوع از کسب‌ و کارهای آنلاین، انگیزه اقتصادی کمی برای امن نگه‌داشتن زیرساخت‌هایشان دارند، بنابراین از هر پلاگین نرم‌افزاری که در دسترس باشد، استفاده می‌کنند تا ترافیک و کلیک‌های کاربری خود را به حداکثر برسانند.

هکرهای خرابکار، پس‌ از آن از ضعف پلاگین‌ها سوءاستفاده می‌کنند تا تبلیغات و پاپ‌آپ‌هایی را که پس‌ از آن موجب آسیب شما یعنی کاربر نهایی می‌شوند، آلوده کنند.

‌حملات درایو-بای‌-دانلود (drive-by-downloads) و تهدیدات مشابه به آن، تهدیدهایی هستند که باید مسدود شوند.

بیشتر تهدیدات بدافزاری که سایر محصولات امنیتی موجود از قبیل آنتی ویروس‌ها و ضد بدافزارها آنها را مسدود می‌کنند، به‌صورت خاص برای کلیک‌های میانبر طراحی‌ شده‌اند که خود را به‌طور خود‌کار بر روی سیستم کاربران نصب می‌کنند. این نوع از حملات محبوب و پرطرفدار هستند زیرا مانع بزرگ‌تر، یعنی کلیک را پشت سر می‌گذارند.

با حذف کلیک‌های بسیار، بدافزار درایو-بای (drive-by) می‌تواند ده یا بیست برابر، کاربران بیشتری را آلوده کند، و این یعنی ده یا بیست برابر درآمد بیشتر.

روند رو به رشد حملات مبتنی بر وب در آینده

حملات مبتنی بر وب، به دلیل سادگی نسبی و سر راست بودن آنها، تنها حملاتی هستند که در آینده با رشد روزافزون آنها مواجه خواهیم شد.
اپلیکیشن‌های وب به‌طور خاص، اولین اهداف هستند، چرا که اغلب اطلاعات کاربری مانند کارت‌های اعتباری، جزییات ورود، فایل‌های ذخیره‌شده در فضای ابری را ارزیابی کرده و سپس به ماشین‌های چندگانه انتشار می‌دهند.

چگونه یک وب‌سایت فیشینگ یا خرابکار، رایانه شخصی شما را به خطر می‌اندازد؟

بیشتر مردم گمان می‌کنند که با عدم کلیک بر روی لینک‌های عجیب‌ و غریب و یا عدم دانلود برنامه از سایت‌های مشکوک، می‌توانند از آلوده شدن خود به بدافزارها جلوگیری کنند. خوب، شاید برای آنها خوشایند نباشد، اما باید از خواب بیدار شوند زیرا چندین راه برای آلوده کردن رایانه شما بدون نیاز به کلیک، وجود دارد.

وب‌سایت‌های آلوده به بدافزار

1. کیت‌های بهره‌برداری و حملات درایو-بای-دانلود

زمانی که از یک سایت مشخص بازدید می‌کنید یک درایو بای دانلود، به‌طور خودکار، بدافزاری را بر روی رایانه شخصی شما دانلود می‌کند. بدافزار خود را دانلود و نصب می‌کند، بدون اینکه در هیچ مرحله‌ای از شما اجازه بگیرد.

چگونه می‌تواند این کار را انجام دهد؟

این کار را از طریق کیت‌های بهره‌برداری (exploit kits) و نرم‌افزارهای قدیمی و به‌روزرسانی نشده انجام می‌دهد. یک کیت بهره‌برداری درون صفحات وب پنهان می‌شود، رایانه بازدید کنندگان را پویش کرده و به دنبال هر نرم‌افزار به‌روزرسانی نشده و آسیب‌پذیر احتمالی می‌گردد.

زمانی که یک آسیب‌پذیری پیدا کند، بدافزار را بر روی رایانه قربانی دانلود می‌کند؛ این بدافزار به‌گونه‌ای طراحی‌شده که از یک آسیب‌پذیری خاص، سوءاستفاده و بهره‌برداری کند.

2. آلودگی‌های جاوا اسکریپت

جاوا اسکریپت یک زبان برنامه‌نویسی است که بخش عظیمی از اینترنت ازجمله Google Docs و بسیاری از اپلیکیشن‌های دیگر را در دست دارد. البته مانند هر فناوری دیگری، دارای باگ‌ها و آسیب‌پذیری‌هایی است که به هکرهای خرابکار اجازه سوءاستفاده می‌دهد.

صفحاتی که با بدافزار جاوا اسکریپت آلوده‌ شده‌اند مشابه با کیت‌های بهره‌برداری، با دانلود فایلی با پسوند ‌”js [.]” که رایانه بعداً آن را اجرا خواهد کرد، منجر به آلودگی دستگاه شما می‌شوند.

زمانی که بدافزار، کد را بر روی رایانه شما اجرا می‌کند، می‌تواند انواع دیگری از بدافزارها را دانلود کرده یا اینکه رایانه شما را به مسیرهای اینترنتی دیگر منحرف کند.

3. تبلیغات آزاردهنده

تبلیغات، امروزه همه‌جا هستند و آن‌هایی که تبلیغاتشان را چند برابر نکنند، از شانس کمتری برای موفقیت در بازارها برخوردارند.

شبکه‌های تبلیغاتی مسئول دادن این تبلیغات به رایانه کاربران هستند و کمپین‌های بزرگ تبلیغاتی می‌توانند به میلیون‌ها کاربر، دسترسی داشته باشند.

این تبلیغات، هدف آسانی برای هکرهای خرابکار هستند، بسیاری از هکرها می‌توانند یکی از این تبلیغات را به سرقت ببرند، سپس این شبکه تبلیغاتی را به‌طور گسترده و سراسری منتشر کنند و کاربران نا آگاهی را که بر روی این لینک کلیک می‌کنند آلوده سازند.

در مواقع دیگر، ممکن است هکر خرابکار، خود تبلیغی را تولید و سپس انتشار دهد. اولین نسخه آن معمولاً پاک و بدون بدافزار است، اما بعد تبلیغ را تغییر داده و آن را به بدافزار آلوده می‌کند.

برای اینکه به شما گستردگی این پدیده را نشان دهیم، در گوگل سرچ کنید و ببینید دقیقاً چه تعدادی از تبلیغات در سال گذشته مسدود شده‌اند.

4. تزریق‌های URL

وردپرس (WordPress) نرم‌افزاری است که نزدیک به 60% از وبلاگ‌ها و وب‌سایت‌ها را پایه‌گذاری می‌کند و بسیار جلوتر از رقبایش قرار دارد. متأسفانه، معماری وردپرس، با آسیب‌پذیری‌هایی پیوند خورده که به هکر اجازه می‌دهد تا URLهای خرابکارانه یا حتی همه صفحات آلوده خود را جا‌سازی کرده، و از طریق صفحه قربانی انتشار دهد.

این URLها و صفحات می‌توانند کد را بر روی رایانه شما اجرا کنند و شما را به سایر وب‌سایت‌های مخرب یا وب‌سایت‌های فیشینگ، یا دانلود بدافزار هدایت کنند.

5. تغییر مسیر خرابکارانه

اگر یک هکر خرابکار به سایت شما کاملاً نفوذ کند، می‌تواند کد آن را تغییر دهد و به‌صورت خودکار، کار‌بر را به صفحه‌ای ببرد که آلوده به بدافزار یا فیشینگ است.

“redirect checker” ابزاری بسیار سودمند در کمک به یافتن این نوع رفتارهای خرابکارانه است.

6. سارقان مرورگر

برخی سایت‌ها می‌توانند با سرقت مرورگر (browser hijacker) شما را آلوده کنند. بدافزاری در این زمینه طراحی‌شده تا مرورگر شما را به خطر بیندازد و مرتباً شما را به سایت‌های دیگر بفرستد، اطلاعات شخصی شما را جمع‌آوری کند، یا از مرورگر شما به‌عنوان دروازه‌ای برای روت‌کیت‌ها (rootkit)‌ها یا کرم‌های رایانه‌ای استفاده کند.

وب‌سایت‌های فیشینگ چه هستند؟

نوع دیگری از تهدیدات که هکرهای خرابکار از آنها استفاده می‌کنند، وب‌سایت‌های فیشینگ هستند. برخلاف روش آلودگی به بدافزار که در بالا گفته شد، فیشینگ بر مهندسی روان‌شناختی-اجتماعی تکیه دارد، به‌گونه‌ای که کاربر خودش با رضایت کامل اطلاعاتش را به مجرم سایبری می‌دهد.

شناسایی سایت‌های فیشینگ ممکن است دشوار باشد، زیرا آنها بسیار شبیه به نوع اصلی خود هستند. فروشگاه‌های اینترنتی همچون دی‌جی کالا (DjKala) یا ای. بی (eBay) اهداف اصلی هستند، زیرا کاربرانی که از این سایت‌ها بازدید می‌کنند، تمایل به خرید دارند و تقریبا همه آنها با کارت‌ بانکی خود این خرید را انجام می‌دهند.

در اینجا مقایسه‌ای بین سایت تقلبی ای.‌بای (ebay) و نمونه واقعی آن انجام‌ شده است.

در اینجا انواع مختلفی از وب‌سایت‌های فیشینگ و چگونگی عملکرد آنها آمده است:

1. تایپواسکواتینگ

تایپو اسکواتینگ (Typosquatting) که آن را با نام “دزدی برند” هم می‌شناسند، زمانی اتفاق می‌افتد که کاربر سهوا در تایپ اسم سایت مورد نظر خود دچار اشتباه می‌شود.

هنگامی‌که کاربر آدرسی را اشتباه وارد می‌کند؛ هکرها این امکان را می‌یابند که با هدایت کاربر به سایت‌های موردنظر خود که از طریق آن آدرس اشتباه باز می‌شوند، وی را مورد هجوم و سوءاستفاده قرار دهند.

هر زمان که شما نام صفحه را به‌صورت دستی در نوار جستجو تایپ کنید، مثلاً www.example.com، این احتمال وجود دارد که هر دفعه آدرس را طوری دیگر بنویسید، مثلا www.examlep.com.

یک هکر از این اشتباهات کوچک در فرایندی به نام تایپو‌اسکواتینگ، سوء‌استفاده می‌کند. تایپواسکواتینگ شامل ساختن وب‌سایت‌های فیشینگ با نام‌های مشابه با نام سایت هدف می‌باشد و امیدوار است کسی که آدرس را در نوار جستجو تایپ می‌کند اشتباه کند و درنهایت به سایت‌ مجرم سایبری وارد شود.

با ورود به این سایت‌ها، او از تمام راه‌هایی که در بالا گفته شد، می‌تواند شما را آلوده کند.

2. سایه زدن دامنه

سایه زدن دامنه (Domain shadowing)، زمانی اتفاق می‌افتد که یک هکر خرابکار با اعتبار ورود مدیران سایت واردشده، مثلاً به‌عنوان یکی از صاحبان وردپرس، و بعد زیر دامنه‌هایی می‌سازد که بازدیدکنندگان را به سایت هکر هدایت می‌کنند. سایه زدن دامنه، نه‌ تنها کاربران را از یک دامنه قانونی به یک دامنه مخرب هدایت می‌کند، بلکه از فیلترهای معتبر عبور کرده و ترافیک را قانونی و مجاز نشان می‌دهد.

3. جعل سایت

جعل سایت (site spoofing) به فیشینگ شباهت بسیار دارد. بزرگ‌ترین تفاوت در هدف و نیت آنها است. یک جاعل کسی است که سایت را در عمل، مشابه با نمونه موجود آن، جعل می‌کند تا کاربران نتوانند این دو را از هم تشخیص دهند. البته این پایان کار نیست چراکه جاعل قصد ایجاد سردرگمی و اشتباه را داشته و اصولاً قصدش تخریب برند است.

چگونه یک وب‌سایت را برای یافتن بدافزار یا اقدامات فیشینگ بررسی کنیم.

بهترین راه برای حفاظت از خود در برابر وب‌سایت‌های فیشینگ و خرابکارانه، نحوه شناسایی یکی از آنها و همچنین فراهم آوردن تمام ابزارهای موردنیاز برای این شناسایی می‌باشد؛ اینجاست که کار تمام می‌شود. در ادامه نکات مفیدی ارائه می‌شود که به شما در این زمینه کمک خواهند کرد.

1. بررسی کنید که URL صفحه، درست باشد.

وب‌سایت‌های فیشینگ در اصل، از ساختار URL‌ای استفاده می‌کنند که مشابه با صفحه وب هدف باشد. برای مثال، ممکن است نام لینک به جای www.facebook.com، به‌صورت www.facebok[.]com باشد.

برای این منظور، به‌شدت توصیه می‌کنیم، همیشه نگاهی به URL صفحه بیندازید و بررسی کنید همه‌ چیز عادی باشد.

2. بیشتر وب‌سایت‌های مخرب از SSL یا HTTPS استفاده نمی‌کنند.

SSL، کوتاه شده عبارت لایه درگاه امنیتی (Secure Socket Layer) و یک تأییدیه امنیتی برای رمزگذاری ارتباطات، بین مرورگر و سایت سرور می‌باشد. به همین دلیل وب‌سایت‌های مخرب، و حتی وب‌سایت‌های فیشینگ از SSL استفاده نمی‌کنند چراکه زحمت و هزینه بیشتری را به آنها تحمیل می‌کند.

هر جا وارد یک سایت جدید شدید که قبلاً چیزی در مورد آن نشنیده‌اید، به ساختار URL آن نگاهی بیندازید آیا با //:https شروع می‌شود یا خیر. اگر با این عبارت شروع می‌شود؛ پس یعنی سایت امن است و ارتباط بین مرورگر شما و سرور رمزگذاری شده است.‌

3. VirusTotal وب‌سایت را پویش کرده و به شما می‌گوید آیا آن مخرب هست یا خیر؟

VirusTotal، سرویسی رایگان است که لینک URL یا فایل را با ده‌ها برنامه آنتی‌ویروس تجزیه‌ و تحلیل کرده و به دنبال لینک‌های مخرب و بدافزاری می‌گردد.

هر جا که از امن بودن یا نبودن سایتی اطمینان ندارید، می‌توانید به‌سادگی URL آن را برای اسکن به برنامه VirusTotal برده و ببینید آیا مورد مشکوکی در آن یافت می‌شود یا خیر.

این برنامه کاربرد بسیار آسانی دارد و مهم‌تر از همه اینکه، رایگان است.

4. سرویس Web of Trust فیلتری رایج برای اطمینان از صحت آدرس‌های اینترنتی.

Web of Trust با افزونه مرورگر خود یعنی myWOT، نظرات میلیون‌ها کاربر را در رابطه با میزان اعتبار یک آدرس اینترنتی برای سایر کاربران به اشتراک می‌گذارد. این کار به شما یک پایگاه داده از اطلاعات جمعی مردمی می‌دهد تا از میزان اطمینان یک سایت مطلع شوید.

زمانی که با یک سایت ناشناس مواجه می‌شوید، WoT این مطلب را به شما خاطر نشان خواهد کرد، بنابراین می‌توانید آمادگی مقابله با آن را کسب کنید.

نکته مهم: پیش از آنکه افزونه را دانلود کنید، بهتر است یادآور شویم که حدود چندماه پیش myWOT به دلیل اینکه داده‌های کاربران را به‌خوبی پنهان نکرده بود، محکوم شد و همین امر باعث حذف آن از کروم و فایرفاکس گردید.

پس‌ازآن، این افزونه دوباره در هردوی این نرم‌افزارها انتشار یافت، به عبارتی می‌توان گفت که از اتهامات وارده تبرئه شده است.

5. از یک مسدودکننده تبلیغات، استفاده کنید.

اگر شما نگران تبلیغات مخرب (malvertising‌) هستید، می‌توانید یک مسدودکننده تبلیغ (adblocker) بر رایانه خود نصب کنید. این نرم‌افزار تقریباً از تمام تبلیغات ازجمله انواع مخرب آن، بر روی صفحاتی که از آنها بازدید می‌کنید، ممانعت به عمل می‌آورد.

6. تمام نرم‌افزارهای خود را به‌روز نگه‌دارید.

وب‌سایت‌های مخرب یا وب‌سایت‌های آلوده به بدافزار با کیت‌های بهره‌برداری تعبیه‌ شده در آنها، از آسیب‌پذیری نرم‌افزار شما که درواقع دروازه‌ای برای ورود سایر آلودگی‌ها به رایانه شماست سوءاستفاده می‌کنند. به‌روز نگه‌داشتن نرم‌افزار می‌تواند دردسری جدی باشد که شامل پاپ‌آپ‌های به‌روز رسانی است.

7. راهکار فیلتر کردن ترافیک می‌تواند شما را از وب‌سایت‌های آلوده به بدافزار حفظ کند.

برنامه‌های فیلتر ترافیک، ترافیک‌های ورودی و خروجی ‌رایانه شما را پویش می‌کنند.‌

برای ترافیک‌های ورودی ‌(HTTP، HTTPS، DNS)، این برنامه به دنبال انواع شناخته‌شده و ناشناخته از بدافزار می‌گردد که به دنبال نفوذ به رایانه شما بوده و نرم‌افزار به‌محض شناسایی، آنها را مسدود می‌کند.

برای ترافیک‌های خروجی، فیلتر به دنبال بسته‌های اطلاعاتی که رایانه شما به وب‌سایت‌های مخرب ناشناخته و یا سایر سایت‌های مشکوک می‌فرستد می‌گردد، سپس ارتباط بین رایانه شما و سایت سرور را قطع می‌کند.

8. مراقب لینک‌های کوتاه شده باشید.

هکرهای مخرب از کوتاه کننده‌های آدرس (URL shorteners) همچون bitly یا TinyURL برای پنهان کردن لینک‌های مخرب خود استفاده می‌کنند. در سایر موارد، کوتاه کننده‌های URL لینک اصلی را غیر واضح و مبهم می‌کنند تا سایر روش‌های امنیتی برای شناسایی بدافزار نهفته در صفحه، با مشکل مواجه شوند.

خوشبختانه، ابزارهایی انحصاری وجود دارند که می‌توانند این لینک‌های کوتاه شده را بررسی کنند تا شما را از امنیت URL مطلع کنند.

فهرستی از شناساگرهای URL، که به شما در این زمینه کمک می‌کنند در زیر آورده شده‌اند:

 /http://www.checkshorturl.com
/http://www.getlinkinfo.com
/http://untiny.com
/http://www.linkexpander.com

هزینه یک آلودگی در اثر استفاده از سایت‌های مخرب

بدافزاری که از طریق یک صفحه آلوده و مخرب منتشر می‌شود، می‌تواند تأثیر جدی مالی و واقعی بر روی شرکت و کاربران عادی داشته باشد.

هزینه تبلیغات بر روی این وب‌سایت‌های آلوده به بدافزار، ارزان هستند و یک مجرم سایبری می‌تواند فقط با ۱۰۰۰ تومان در حدود 1000 کاربر را با هر نوع بدافزاری آلوده کند. یعنی هزینه آلوده کردن هر کاربر فقط ۱ تومان.

در حال حاضر باج افزارها در میان مجرمان سایبری بسیار محبوب و کارآمد هستند چراکه بیش از 50‌% از کسب‌ و کارهای آلوده‌شده به باج‌افزار، بین ۵۰ تا ۲۰۰ میلیون تومان، برای بازیابی فایل‌های رمزگذاری شده‌، می‌پردازند.

ما بیشتر زمان خود را صرف جستجو در اینترنت می‌کنیم و این کار ما را در معرض آلودگی‌های بدافزاری قرار می‌دهد که حتی فکرش را هم نمی‌کنیم که وجود داشته باشند.

آیا تا به‌ حال با بازدید از یک صفحه مخرب یا مشکوک، آلوده‌شده‌اید؟ اگر جواب شما مثبت است، چگونه این مشکل حل کردید؟ ما منتظر شنیدن نظرات شما هستیم.