روش صفحات تقلبی برای سرقت اطلاعات کاربران «بسیا مهم»

[Almas Parsi]

مواظب صفحات تقلبی‌ باشید! این روش فیشینگ قدیمی نیست!
شما با وارد کردن آدرس خود سایت یاهو، جیمیل یا حتی حساب بانکیتان به صفحه تقلبی منتقل می‌شوید!!
در این روش نوین همه چیز طبیعی است!!!
دسکتاپ فیشینگ چیست؟

دسکتاپ فیشینگ یک روش نسبتآ جدید سرقت اطلاعات است که اکثر کاربران از آن بی اطلاع هستند. امروزه همچنان با تعجب می بینیم که جایی در وبلاگستان فارسی به آن پرداخته نشده است، این در حالی است که ایرانی های فعال در حوزه امنیت کامپیوتر و شبکه با این روش به خوبی آشنا هستند!

توجه: این مطلب صرفآ جهت مقاصد آموزشی نوشته شده است و مسئولیت هر گونه استفاده نادرست از این اطلاعات به عهده خواننده است.


فیشینگ چیست؟

فیشینگ یک تکنیک قدیمی (بیشتر از بیست سال پیش) برای سرقت اطلاعات کاربران است که همچنان امروز هم مورد استفاده هکر ها است. فیشینگ به زبان ساده یعنی صفحه ای شبیه صفحه لاگین یک سایت معتبر که حاوی کدی است که آنچه شما در قسمت نام کاربری و رمز وارد می کنید را به طور مخفیانه برای هکر می فرستد. مثلآ یک صفحه که عینآ شبیه صفحه لاگین یاهو است با این تفاوت که وقتی روی دکمه Login کلیک می کنید اطلاعات شما اول به طور مخفیانه برای هکر ارسال شده و سپس وارد یاهو می شوید.

1)نفوذگر صفحه‌ای شبیه به صفحه لاگین سایتی (مثلاً یاهو) ساخته و آن را روی یک سایت دیگر قرار می‌دهد.
2)نفوذگر لینک آن صفحه را به نوعی سر راه قربانی قرار می‌دهد.
3)قربانی روی لینک کلیک کرده و در صورت بی‌دقتی آدرس سایت صفحه تقبلی را با آدرس سایت واقعی اشتباه می‌گیرد و اطلاعات خود را در آن سایت وارد می‌کند.
4)اطلاعات وارد سده در آن فرم به هکر ارسال می‌شود.

دسکتاپ فیشینگ چیست؟

دسکتاپ فیشینگ یک مدل جدید تر از فیشینگ است که مشکلاتی که فیشینگ قدیمی دارد را ندارد. مهم ترین تفاوت دسکتاپ فیشینگ با فیشینگ معمولی این است که در دسکتاپ فیشینگ لینک صفحه ای که حاوی کد مخرب است هیچ تفاوتی با لینک سایت اصلی نخواهد داشت! یعنی کاربر مثلآ آدرس سایت را همان yahoo.com می بیند و ابدآ شک نمی کند که این فرم بتواند یک صفحه فیشینگ باشد. در حالی که در فیشینگ قدیمی صفحه فیشینگ باید در یک لینک جدا قرار داشته باشد و کاربر با کمی دقت به سادگی می تواند متوجه شود که وارد یک صفحه تقلبی شده است. مزیت دیگر دسکتاپ فیشینگ این است که نیازی به طراحی یک صفحه تقلبی جداگانه برای هر سایت نیست و با یک کد می توان تمام سایت ها را آلوده کرد.

1)نفوذگر فایل مربوط به DNS کاربر را به نوعی دستکاری می‌کند.
2)نفوذگر لینک آن صفحه را روی یک سرور با IP اختصاصی قرار می‌دهد.
3)قربانی وارد سایت واقعی باهو شده و صفحه‌ای هم که می‌بیند آدرس واقعی سایت یاهو است، اما آنچه می‌بیند صفحه تقبلی نفوذگر است!
4)اطلاعات وارد سده در آن فرم به هکر ارسال می‌شود.

(برای اطلاعات بیشتر از روش فیشینگ قدیمی به مقاله‌ی هک شدن ممنوع - روش سوم - صفحات و ایمیل تقلبی مراجعه نمائید: http://www.alirezaweb.com/307-Hack-no.html#3 )

چطور امکان پذیر است، مگر می شود؟!

بله، در دسکتاپ فیشینگ نفوذگر با روش های متفاوت فایل مرتبط به DNS را تغییر می دهد (در ویندوز فایل hosts). این باعث می شود شما لینک های سایت ها را همانطور که هستند ببینید و فکر نمی کنید که دارید یک صفحه تقلبی را مشاهده می کنید اما آنچه در مرورگر شما لود شده است در اصل صفحه ای تقلبی است که حاوی کد های مخربی است که اطلاعاتی که شما در فرم های وارد می کنید را به نفوذگر می فرستد.
جدول زیر فیشینگ را با دسکتاپ فیشینگ مقایسه می کند.

فیشینگ قدیمی	دسکتاپ فیشینگ
قابل شناسایی با توجه به لینک	لینک واقعی
صفحه تقلبی جداگانه برای هر سایت	ایجاد اتوماتیک صفحه تقبلی برای تمام سایت ها
بدون نیاز به تغییر فایل‌های قربانی	نیاز به آلوده کردن سیستم قربانی قبل از اجرا
بدون نیاز به IP اختصاصی	نیاز به هاست با آی.پی اختصاصی
احتمال کم شناسایی توسط آنتی ویروس	احتمال بالاتر شناسایی توسط آنتی ویروس

چطوری؟

تا جایی که می شد ماجرا را برایتان ساده کردیم. اگر همچنان دقیق متوجه نمی شوید که این روش چطوری کار می کند باید یاد بگیرید DNS چیست و چطور کار می کند. برای شما به زبان ساده توضیح خواهیم داد. کامپیوتر ها آدرس سایت ها را با یک سری عدد به اسم «آدرس IP» می شناسند و اسم خود سایت مثلآ yahoo.com برایشان معنی ندارد. هر موقع شما تایپ کنید yahoo.com و بخواهید وارد سایت یاهو شوید کامپیوتر تان باید بداند آدرس IP سایت یاهو چیست تا بتواند سایت را برای شما باز کند. کامپیوتر تان اول دفترچه یادداشت خودش را نگاه می کند تا ببیند می داند این آدرس چیست یا خیر، اگر در دفترچه خودش نداشت (همان فایل hosts که راجع به آن صحبت کردیم) از DNS می پرسد و DNS آدرس IP سایت مورد نظر را به کامپیوتر می گوید.
ما با اضافه کردن یک خط تقلبی به این دفترچه یادداشت کامپیوتر را گول می زنیم تا فکر کند که می داند آدرس سایت چیست اما ما به جای آدرس واقعی آدرس کد مخرب خودمان را می گذاریم. در این حالت کامپیوتر محتوای صفحه مخرب را باز می کند اما فکر می کند این همان سایت یاهو است در نتیجه لینک ها هم همگی واقعی به نظر می رسند.
یک مثال

1- وارد آدرس C:WindowsSystem32driversetc شوید و فایل hosts را با نت پد باز کنید.
2- دو خط زیر را به این فایل اضافه کنید (بعد از خط هایی که با # شروع شده اند):

64.130.216.112 yahoo.com
64.130.216.112 www.yahoo.com

فایل را ذخیره کنید و مرورگر خود را باز و بسته کنید.
3- حالا وارد سایت یاهو شوید، می بینید که وارد سایت پارسیک می شوید اما لینک همچنان سایت یاهو را نشان می دهد.
اگر همچنان صفحه یاهو را می بینید مطمئن شوید فایل را به درستی ذخیره کرده اید و مرورگر خود را باز و بسته کرده اید. در نهایت ممکن است مجبور باشید دیسکانکت شوید و دوباره به اینترنت وصل شوید.
الان چی کار کردیم؟
ما فایل hosts که همون دفترچه کامپیوتر مان است را تغییر دادیم و در آن نوشتیم آدرس IP سایت یاهو 64.130.216.112 است در حالی که این عدد مربوط به سایت پارسیک هست. در نتیجه وقتی کامپیوتر خواست یاهو را باز کند آن خط را خواند و گول خورد و سایت پارسیک را باز کرد، با این فکر که این همان یاهو است.

منبع: علیرضا وب