Phishing از جمله واژه هائی است که توسط مهاجمان در عرصه ادبیات اینترنت مطرح و به ترغیب توام با نیرنگ کاربران به افشای اطلاعات حساس و شخصی آنان اشاره دارد . مهاجمان به منظور رسیدن به اهداف مخرب خود، در اولین مرحله درخواست موجه خود را برای افراد بیشماری ارسال می نمایند و در انتظار پاسخ می مانند . phishing در واقع نوعی از فریب است که برای دزدیدین هویت شما طراحی شده است. در یک حیله از نوع phishing، یک فرد آسیب رسان سعی می کند تا اطلاعاتی مانند شماره های اعتباری و کلمات عبور یا سایر اطلاعات شخصی شما را با متقاعد کردن شما به دادن این اطلاعات تحت ادعاهای دروغین بدست آورد. این نوع حملات معمولاً از طریق ارسال هرزنامه یا پنجره های pop-up و یا صفحاتی شبیه صفحه لاگین به بانک یا سایت های مهم انجام می شود.
انواع تکنیک های Phishing
دستکاری پیوند:
در این تکنیک برای گمراه کردن کاربر از اسامی معتبری در آدرس استفاده میشود ، مانند استفاده از زیر دامنه آشنای gmail در www.gmail.phisher.com، که در واقع کاربر را به سایت phisher هدایت میکند و یا استفاده از حرف @، مثلاً در [email protected] که در واقع کاربر را به سایت members.tripod.com و نه گوگل هدایت میکند .
گریز از فیلترها:
phisher ها (افرادی که Phishing انجام می دهند )برای جلوگیری از شناسایی متنهای متداول Phishing در ایمیل توسط فیلترهای Anti-Phishing ، از عکس به جای نوشته استفاده میکنند.
جعل وبگاه:
برخی از phisher ها از جاوااسکریپت برای تغییر آدرس در نوار آدرس مرورگر استفاده میکنند تا هیچ جای شکی برای قربانی باقی نماند. یک مهاجم حتی میتواند از ایرادهای موجود در اسکریپتهای یک سایت معتبر نیز علیه خودش استفاده کند. به این نوع حمله cross-site scripting گفته میشود. در این مورد از کاربر خواسته میشود تا در بانک خودش لاگین کند. ظاهراً همه چیز عادی است از ادرس وبگاه گرفته تا گواهینامه امنیتی (security certificates). اما در واقعیت، پیوند به ان وبگاه دستکاری میشود تا با استفاده از عیبهای موجود در اسکریپتهای ان وبگاه، حمله انجام شود. با این حال این روش نیازمند دانش و اگاهی بالایی است. از این روش در سال ۲۰۰۶ برای حمله به وبگاه PayPalاستفاده شد.
یک نمونه از حملات phishing
یک نمونه از حملات Phishing ایجاد صفحه وب سایتی جدید در وب سایت شما می باشد . در این حمله یک هکر از حفره های امنیتی موجود در سایت شما استفاده کرده و پس از نفوذ به آن ، صفحه وبی جدید دقیقا مشابه با صفحه ورود به یک بانک در وب سایت شما ایجاد کرده و از کاربران اطلاعات بانکی و تجاری را می خواهد . کاربر اطلاعات حساب خود را از طریق وب سایت شما وارد کرده و این اطلاعات به هکر ارسال خواهد شد و در نهایت و در صورت شکایت کاربران نیز، هیچ آثاری از هکر باقی نمانده و همه به وب سایت شما مشکوک خواهند بود.
مهاجمان به منظور فریب کاربران از روش های متعددی استفاده می نمایند :
استفاده از logo وسایر علائم تجاری شناخته شده و معتبر
چگونگی تشخیص آلودگی وبسایت
گوگل به عنوان بزرگترین موتور جستجوی وب دنیا، به دلیل ایندکس نمودن تمام وب سایت ها معمولا صفحات حاوی Phishing را تشخیص داده و پیغامی مبنی بر همین موضوع را به مدت 90 روز به ایمیل آدرس اصلی صاحب دامین مربوطه ارسال می نماید و در صورتیکه تا این مدت صاحب سرویس مشکل را مرتفع ننماید، گوگل ترتیبی اتخاد می کند که از آن پس با وارد نمودن آدرس سایت مربوطه در مرورگرهای طرف قرارداد با گوگل مانند فایرفاکس یا کروم ، صفحه اخطار گوگل مبنی بر آلوده بودن وب سایت نمایش داده شود.
اگر در حین بازکردن وب سایت خود توسط مرورگر و یا هنگام مشاهده وبسایت خود در سایت Google با خطاهای زیر مواجه شدید وب سایت شما آلوده شده است .
همچنین به جز گوگل، در صورتیکه سایت شما حاوی محتوای Phishing با هدف سرقت اطلاعات کاربران سازمان یا بانک خاصی باشد، ممکن است آن سازمان از سایت شما به دیتاسنتر شکایت کرده باشد، لذا شرکت هاستینگ شما نیز موظف است به شکایت دیتاسنتر اقدام کرده و سایت شما ساسپند نماید.
مراحل رفع مشکل :
شما مراحل زیر را برای حل این مشکل پیشرو دارید :
1 – قطع دسترسی ها
سایت خود را از حالت آنلاین خارج نمایید تا کاربران دسترسی به محتواهای وب سایت نداشته باشند . برای مثال وب سرور را متوقف کنید و یا DNS های دامنه را (سروری که خطای 503 HTTP نمایش می دهد)تغییر دهیدو یا از میزبان هاست خود بخواهید که وب سایت شما را قطع نماید .همچنین کلمه عبور کنترل پنل هاست ،کنترل پنل دامنه ،کنترل پنل کاربری،FTP، و CMS ها را تغییر دهید .
2- ثبت سایت در Webmaster Tools Google
Webmaster Tools Google ابزار مدیریت وبسایت ارائه شده بصورت آنلاین توسط Google می باشد که امکاناتی را برای بهینه سازی وب سایت و ایرادیابی ارائه می دهد .
در این مرحله شما می بایست نام دامنه خود را در سایت Webmaster Tools Google به آدرس زیر ثبت نمائید :
.www.google.com/webmasters
الف– وارد Webmaster Tools شوید.
ب- وارد قسمت Messages شوید .
ج- در صورت آلودگی پیامی مبنی بر آلودگی این وب سایت با Phishing به شما نمایش داده خواهد شد .
د- به قسمت Security Issues بروید .
در صورتی که در این قسمت کلمه Hacked نمایش داده شود بدلیل انجام Phishing در این وب سایت است .
3- تشخیص فایل دارای محتوای Phishing
می توانید سایتی که کش شده را توسط دستور cache:http://www.example.com/page.html در google مشاهده کنید . وب سایت کش شده را با کد حال حاضر مقایسه کنید تا محتواهای وارد شده توسط هکر مشخص گردد.
استفاده از Fetch as Google
الف- مطمئن شوید که وب سایت آنلاین است
ب- وارد Google Webmaster Tools شوید
ج- سایتی که در مرحله 4 معرفی کرده بودید را مشخص کنید
د- روی Crawl کلیک کرده و روی Fetch as Google کلیک کنید .
ه- آدرس وب سایت را وارد کنید و روی Fetch کلیک کنید .
بدنبال مضامینی مثل eval(base_64_decode)”aisiYSlbYlaws…” بگردید.
استفاده از cURL ها که اطلاعات مرورگر را نمایش می دهند برای مثال کد زیر :
$ curl -v –referer “http://www.google.com” –user-agent “Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.112 Safari/534.30″ http://www.example.com/page.html
5- تشخیص عامل ایجاد آلودگی
در این مرحله بعد از تشخیص نوع آلودگی و رفع آن می بایست عامل ایجاد این آلودگی را پیدا نمایید اگر این آلودگی برطرف نشود وب سایت شما در آینده نیز با راه اندازی مجدد هک خواهد شد ، بنابراین خطا را بیابید .
الف- کامپیوتر های مدیران وب سایت نیز باید بوسیله Antivirus و AntiMalware اسکن شوند.
ب- از پسوردهای ضعیف استفاده نکنید .
ج- تمامی ابزارها را بروزرسانی کنید تا خطاهای امنیتی مرورگر سیستم عامل و CMS ها از بین برود .
د: وب سایت خود رااز عدم احتمال وجود SQL injection (نوعی از نفوذ به بانک اطلاعاتی بوسیله کدها ) و Redirect ها بررسی کنید .
6- پاک سازی و رفع فایل های آلوده
در این مرحله می بایست تمامی موارد مشکوک را پاک کرده و از فایل ها نسخه Backup تهیه کنید سپس تمامی پسوردها را تغییر دهید.
7- ارسال درخواست بازبینی سایت به گوگل
وارد محیط مدریت دامنه در سایت Webmaster Tools Google شوید (مطابق مرحله 3)
به Diagnostics رفته و سپس بر روی Malware کلیک کنید.
بر روی Request a review کلیک کرده و درخواست بازبینی را به گوگل ارسال کنید. در صورتی که سایت شما دارای مشکل نباشد، بعد از ارسال درخواست بازبینی، بعد 1 تا 3 روز خطا برطرف خواهد شد. اگر بعد از 3 روز سایت شما هنوز بعنوان یک وب سایت هک شده اعلام می شود، مجددا وارد محیط مدریت دامنه در سایت گوگل وب مستر تولز شده و علت عدم تائید آن را مشاهده نمائید.