يک شرکت امنيتي اعلام کرد: مهاجمان بار ديگر از اعتماد کاربران به گوگل سوءاستفاده کرده و صفحات آلوده جديدي را روي سرورهاي گوگل بارگذاري کرده‌اند که اطلاعات کاربران را سرقت مي کند.

وايمکس نيوز - شرکت امنيتي و تحقيقاتي Elastica Cloud Threat Labs اولين بار از صفحات آلوده به فيشينگ که روي سرورهاي سرويس ابري Google Drive بارگذاري شده بود پرده برداشت.

اين کمپين فيشينگ شباهت‌هاي زيادي به موجي از حملات فيشينگ دارد که محققان در ماه مارس 2014 آن را شناسايي کردند؛ در حملات فيشينگ سال ميلادي گذشته، کاربران به نسخه جعلي صفحه خدمات آنلاين گوگل وارد شده و با وارد کردن شناسه و رمز عبور خود در واقع اطلاعات حساب‌هاي کاربري‌شان را دراختيار مهاجمان قرار مي‌دادند.

اما نکته جالب و پراهميت آنکه اين صفحات جعلي روي پلتفرم گوگل و تحت پروتکل امن HTTPS بارگذاري مي‌شدند؛ اما اين حمله فيشينگ به‌صورت ايميلي انجام شده و کاربران با دريافت ايميلي با عنوان Document به صفحات آلوده و قلابي مهاجمان تغيير مسير داده مي‌شوند.

علاوه بر اين کدنويسي، اين موج جديد از حملات فيشينگ به‌گونه‌اي است که تشخيص قلابي بودن آن براي کاربران عادي و حتي کارشناسان بسيار دشوار بوده و اين مساله حاکي از آن است که هکرها پيوسته درحال به‌روز کردن شيوه‌هاي تهاجم خود هستند و به آساني ردي از خود به جاي نمي‌گذارند.

Elastica در گزارشي درباره اين آسيب‌پذيري امنيتي نوشت: «استفاده از Google Drive براي ميزباني صفحات فيشينگ به مهاجمان امکان مي‌دهد به‌راحتي از اعتماد کاربران به گوگل به نفع خود استفاده کنند.» گوگل بعد از انتشار اين گزارش صفحات مورد نظر را از روي سرورهاي خود حذف کرد.

به گزارش اين شرکت امنيت خدمات ابري، مهاجمان به جاي صرف زمان و هزينه فراوان براي راه‌اندازي يک حمله فيشينگ ايميلي از ضعف سرويس Google Drive در ذخيره‌سازي و ارائه محتوي استفاده کرده‌اند. علاوه بر اين بارگذاري اين صفحات تحت پروتکل امن HTTPS (پروتکلي که هنگام بارگذاري صفحاتي نظير پرداخت آنلاين مشاهده مي‌کنيم) باعث مي‌شود کاربران با خيال راحت و بي هيچ شک و گماني اطلاعات خود را وارد کنند.

در اين مورد خاص، دسترسي به اطلاعات ورود کاربران خدمات گوگل يک پيروزي بزرگ براي مهاجمان محسوب مي‌شود.

Elastica در بخش ديگري از گزارش خود نوشت: «مهاجمان براي سواستفاده حداکثري از اين آسيب‌پذيري، به‌طور خاص کاربران گوگل را هدف قرار دادند تا از طريق دستيابي به اطلاعات ورود آنها به دامنه گسترده‌اي از خدمات آنلاين گوگل دسترسي يابند، چرا که گوگل از سيستم ورود Single Sign On ) SSO) استفاده مي‌کند.»

سيستم SSO به اين معناست که کاربران با يک بار وارد کردن شناسه و گذرواژه خود به تمام خدمات گوگل مانند ايميل، سرويس ذخيره‌سازي ابري يا Google+ دسترسي پيدا مي‌کنند و لازم نيست براي استفاده از هر سرويس به‌طور جداگانه اطلاعات کاربري خود را وارد کنند.

کاربران بعد از دريافت يک ايميل فيشينگ از آدرس Gmail (آدرسي که مهاجمان کنترل آن را به‌دست گرفته‌اند) به لينکي روي Google Drive وارد شده و صفحه‌اي مشابه صفحه ورود گوگل پيش روي آنها بارگذاري مي‌شود. کاربران با وارد کردن اطلاعات کاربري در واقع شناسه و رمز عبور خود را در قالب يک فايل متني به سرورهاي تحت فرمان مهاجمان ارسال مي‌کنند. اما اين پايان کار نيست و سپس يک صفحه PDF روي مرورگر کاربران بارگذاري مي‌شود تا آنها خيال کنند با يک فرآيند معتبر و روزمره سروکار دارند.

اين ايميل‌هاي آلوده به‌وسيله ابزار امنيت آنلاين گوگل شناسايي نمي‌شوند چرا که مبدا ايميل يک حساب Gmail بوده و لينک درون آن نيز کاربران را به دامنه‌اي تحت ميزباني googledrive.com تغيير مسير مي‌دهد؛ اما در اين صفحات آلوده عناصري وجود دارد که بايد بيشتر به آن توجه کرد.

«با وارد کردن آدرس drive.google.com، گوگل کاربران را به آدرس accounts.google.com تغيير مسير مي‌دهد و صفحه‌اي همراه با اين نوشته بارگذاري مي‌شود: One Account. All of Google. اين درحاليست که صفحه گوگل قلابي پيام متفاوتي را به نمايش مي‌گذارد: Google Drive. One Storage. اما بسياري از کاربران قرباني اين حمله فيشينگ به چنين ظرايفي دقت نمي‌کنند.»

مهاجمان همچنين چند لايه جاوا اسکريپت را به صفحه فيشينگ خود اضافه مي‌کنند؛ صفحه‌اي که اطلاعات کاربري قربانيان را به آدرس hxxp://alarabia[.]my/images/Fresh/performact[.]php ارسال مي‌کند.

منبع : مهر