هدایت کاربران به نسخه جعلی وب سایت بانک‌ها

تشخیص وب سایت جعلی با وب سایت اصلی

 

مهاجمان سایبری مودم‌های DLink DSL را در کشور برزیل هدف حملات خود قرار داده و با تغییر تنظیمات DNS آنها و جایگزینی آن با سرور DNS تحت کنترل خودشان، به سوء‌استفاده از این مودم‌ها مشغول هستند. آنها با انجام این کار می‌توانند کاربرانی که قصد اتصال به سیستم بانکی آنلاین را دارند، به وب سایت‌های جعلی هدایت کرده و اطلاعات حساب کاربری شان را سرقت کنند.

بر اساس تحقیقات صورت گرفته توسط مرکز Radware، اکسپلویت مورد استفاده مهاجمان امکان تغییر بدون مجوز تنظیمات DNS را در مسیریاب ها و مودم‌های DLink DSL برای آنها فراهم می‌کند. به این ترتیب می‌توانند به آسانی حجم انبوهی از مسیریاب های آسیب‌پذیر را پیدا کرده و تنظیمات DNS آنها را تغییر دهند، به شکلی که سرور DNS عملاً تحت کنترل خودشان قرار داشته باشد.

لازم به ذکر است هنگامی که کاربری سعی دارد به وب سایتی در اینترنت متصل شود، اول سرور DNS نام میزبان، مثل www.google.com را تبدیل به آی پی مربوط به آن مانند 172.217.11.36 می‌کند. سپس رایانه وی به این آی پی متصل شده و ارتباط مورد نظر برقرار می‌شود. با تغییر دادن Name Server‌هایی که در مسیریاب ها استفاده می‌شوند، کاربران بدون هیچ اطلاعی به وب سایت‌های مخرب و جعلی متصل شده و تصور می‌کنند که این وب سایت‌ها مجاز و قابل اعتماد هستند.

DNS Server‌های مخرب مورد استفاده در این حمله، 69.162.89.185 و 198.50.222.136 بوده‌اند. این سرورها به صورتی تنظیم شده بودند کاربرانی که قصد اتصال به بانک‌های برزیلی Banco de Brasil (www.bb.com.br) و Itau Unibanco (www.itau.com.br) را داشتند، به وب سایت جعلی مشابهی هدایت کنند.

در تحقیق انجام شده توسط Radware آمده که: «ویژگی منحصر به‌ فرد این روش این است که عمل DNS ربایی بدون انجام هر گونه تعاملی از سوی کاربر اجرا می‌شود. پیش از این هم در ابتدای سال 2014 میلادی و در طول سال‌های 2015 و 2016 نیز کمپین‌های فیشینگ و کمپین‌هایی با URLهای مخرب و آگهی‌افزارها ایجاد شده بودند که سعی داشتند تنظیمات DNS را از داخل مرورگر کاربر تغییر دهند. در سال 2016 میلادی، یک ابزار سوءاستفاده (اکسپلویت) با عنوان “RouterHunterBr 2.0” در اینترنت منتشر شد که از همان URL‌های مخرب استفاده می‌کرد اما در حال حاضر گزارشی مبنی بر سوءاستفاده از این ابزار به دست Radware نرسیده است».

تشخیص وب سایت‌های تقلبی و جعلی بانک‌ها

وب سایت‌های تقلبی و جعلی بانک‌ها معمولاً مشابه با وب سایت‌های اصلی هستند با این تفاوت که در وب سایت‌های جعلی از کاربران درخواست می‌شود اطلاعاتی همچون شماره حساب، کد شعبه، پین کد هشت رقمی، شماره تلفن همراه، شماره کارت و غیره را وارد کنند. سپس این اطلاعات توسط مهاجمان جمع‌آوری شده و در اختیار آنها قرار می گیرد.

تنها علامتی که مشخص می‌کند در این بین مورد مشکوکی وجود دارد، این است که مرورگر نشان می‌دهد این صفحه امن نیست (Not Secure). نمونه چنین تصویری را در عکس بالا مشاهده می‌کنید. همچنین ممکن است هشدارهایی درباره گواهینامه وب سایت نمایان شود که این مورد هم در عکس زیر نمایش داده شده است.

هشدار درباره گواهینامه (Certificate) وب سایت‌های جعلی

همان‌طور که تاکنون متوجه شده اید، این نوع حمله به شدت خطرناک است؛ به این دلیل که در این حمله هیچ ایمیل فیشینگ ، برای کاربران ارسال نمی شود و هیچ گونه تغییری هم در رایانه کاربر قربانی صورت نمی‌گیرد. در عوض، همه چیز بر روی خود مسیریاب انجام می‌شود به صورتی که تمام موارد از دید کاربر، بدون مشکل به نظر می‌رسد.

Radware در ادامه گزارش خود خاطرنشان کرده که: «این حمله بسیار خطرناک است، از این جهت که کاربر کاملاً از ایجاد تغییرات بی‌خبر است. این DNSربایی بدون دستکاری و تغییر URL‌های درون مرورگر کاربر رخ می‌دهد. ممکن است کاربری که قربانی این حمله می‌شود، از هر نوع مرورگری با هر میانبری برای ورود به سایت استفاده کرده باشد. همچنین ممکن است URL را به صورت دستی تایپ کند یا حتی از مرورگرهای موبایلی گوشی هوشمند یا تبلت استفاده کند. در هر صورت کاربر به جای هدایت به وب سایت درخواستی، به وب سایت مخرب هدایت شده و عمل DNSربایی در سطح درگاه (Gateway) انجام می‌شود».

Radware پس از شناسایی این کمپین مخرب، به بانک‌ها اطلاع‌رسانی کرده و سپس تمام این وب سایت‌های مخرب از دسترس کاربران خارج شدند. Radware به کاربرانی که نگران قربانی شدن خود در برابر چنین حملاتی هستند، توصیه می‌کند که از سایت http://www.whatsmydnsserver.com/ برای بررسی DNS Server‌های پیکربندی شده‌شان استفاده کنند. به این ترتیب می‌توانید متوجه شوید که آیا سرورهای مخربی در بین آنها وجود دارد یا خیر (به این دلیل که سرورهای مخرب، تحت مالکیت ارایه دهنده سرویس اینترنت شما قرار ندارند و بنابراین می‌توان آنها را شناسایی کرد).

 

 

خروج از نسخه موبایل