هشدار: مراقب خطای 404 در صفحات جعلی HTTP باشید!

 

توزیع‌کنندگان بدافزار، هکرها و کلاهبردارانی که کارشان را به وسیله فیشینگ انجام می‌دهند همچنان فرم‌های لاگین وبشان را پشت صفحات جعلی خطاهای HTTP مخفی می‌کنند. این صفحات تظاهر می‌کنند که همان صفحات خطای HTTP هستند صفحاتی نظیر (خطای 404 “صفحه یافت نشد”) “404 Not Found” یا (دسترسی به صفحه ممنوع است) “Forbidden”، اما در حقیقت این صفحات همان صفحات لاگینی هستند که امکان دسترسی به پوسته وب برای ارسال دستورات به سرور توسط حمله‌کننده را فراهم می‌سازند.

با وجود اینکه این راهکار چندان جدید نیست، محققان متخصص در شاخه امنیت و فیشینگ nullcookies، به این نکته پی برده‌اند که افزایش قابل توجهی در میزان استفاده از این صفحات خطای جعلی وجود داشته است. پوسته‌های وب امکان بارگذاری بدافزارها، اسکریپت‌های فیشینگ و سایر نرم‌افزارها را در اختیار هکرها قرار می‌دهند.

یکی از متخصصان nullcookies در پاسخ به سایت Bleeping Computer بیان کرد که «این تکنیک جدید نیست، اما آنچه توجه ما را به خود جلب کرده است افزایش بکارگیری آن‌ها است و در صورتی که کسی با این تکنیک آشنا نباشد از وجودشان بویی نمی‌برد.»

در ادامه نمونه‌هایی از آدرس‌های اینترنتی صفحاتی را که از این خطای ساختگی استفاده می‌کنند را خواهیم دید. با نگاهی به این نمونه‌ها به خوبی می‌توان فهمید که چرا افراد آن‌ها را همان صفحات استاندارد خطای 404 ( HTTP 404 ) می‌پندارند و تصور می‌کنند که آن صفحه واقعا وجود ندارد.

اگر در این موضوع عمیق‌تر شویم و به کد منبع صفحه نگاه کنیم، صفحه بسیار متفاوتی را خواهیم دید که در پس‌زمینه پنهان شده است. کد منبع نشان می‌دهد که یک فرم لاگین در صفحه وجود دارد، اما به وسیله کد CSS که نشانگر لاگین را در انتهای صفحه قرار داده مخفی شده و نوار پیمایش صفحه را حذف کرده است تا شما فکر کنید که در انتهای صفحه چیزی وجود ندارد و به آنجا مراجعه نکنید.

اگر از دکمه میانبر “به پائین صفحه برو” روی کیبورد استفاده کنید، فرم لاگین به سرعت پدیدار می‌شود.

در نمونه‌ای دیگر، هکر از پیام خطای «Forbidden» استفاده کرده است. درست مانند صفحه ساختگی خطای 404، این روش نیز یک فرم لاگین را درون خود مخفی می‌کند، اما در اینجا هم هکر برای پنهان‌سازی فیلدهای ورودی از روش‌های خلاقانه‌ای بهره می‌برد.

در این صفحه، حمله‌کننده کلیه فیلدهای فرم را مخفی می‌سازد، در نتیجه حتی اگر با استفاده از نوار پیمایش هم به انتهای صفحه بروید چیزی نخواهید دید. در عوض برای دسترسی به فیلدهای فرم باید بدانید که دقیقا در کجای صفحه قرار گرفته‌اند و یا آن‌ها را نشانه‌گذاری کنید.

طبق گفته nullcookies، پوسته‌های وبی که در لایه‌های زیرین این صفحات پنهان شده‌اند برای مدیران راهبردی سیستم که احتمالا مشغول پاکسازی تنظیمات فیشینگ هستند اما متوجه صفحه دیگری که پشت پوسته وب مخفی شده‌اند نمی‌شوند، مخاطرات خاصی ایجاد می‌کند و امکان آلوده سازی مجدد سایت توسط حمله‌کننده را فراهم می‌کند.

یکی از متخصصان nullcookies به وب‌سایت Blooping Computer گفت: “ممکن است فردی در یک کمپانی این پنل‌ها را از کار بیندازد، به این دلیل که متوجه نشده چیزی وجود دارد که اول از همه باید آن را حذف کند.” یکی از دلایل ادامه عمل فیشینگ حتی پس از تلاش وب‌مستر و یا افراد دیگر برای مقابله با آن همین موضوع است.

با تکیه بر این موضوع، هر زمان گزارش‌هایی دریافت کردید که ادعا می‌کرد وب‌سایت شما به خطر افتاده، با بررسی سطحی تصور نکنید که این صفحه خطا مجاز یا معتبر است و حتما منبع آن را به صورت دقیق بررسی کنید.