ايتنا - موج جدید حملات فیشینگ علیه کاربران گوگل

ایتنا - نکته جالب و پراهمیت آنکه این صفحات جعلی روی پلتفرم گوگل و تحت پروتکل امن HTTPS بارگذاری می‌شدند!

به گزارش ایتنا از روابط عمومی شرکت ایدکو(توزیع کننده محصولات کسپرسکی در ایران)؛ مهاجمان بار دیگر از اعتماد کاربران به گوگل سوءاستفاده کرده و صفحات آلوده جدیدی را روی سرورهای گوگل بارگذاری کرده‌اند که به آنها امکان می‌دهد اطلاعات ورود کاربران به سرویس‌های آنلاین گوگل را سرقت کنند.

شرکت امنیتی Elastica Cloud Threat Labs اولین بار از صفحات آلوده به فیشینگ که روی سرورهای سرویس ابری Google Drive بارگذاری شده بود پرده برداشت.
این کمپین فیشینگ شباهت‌های زیادی به موجی از حملات فیشینگ دارد که محققان در ماه مارس ۲۰۱۴ آن را شناسایی کردند. در حملات فیشینگ سال میلادی گذشته، کاربران به نسخه جعلی صفحه خدمات آنلاین گوگل وارد شده و با وارد کردن شناسه و رمز عبور خود در واقع اطلاعات حساب‌های کاربری‌شان را دراختیار مهاجمان قرار می‌دادند؛ اما نکته جالب و پراهمیت آنکه این صفحات جعلی روی پلتفرم گوگل و تحت پروتکل امن HTTPS بارگذاری می‌شدند. این حمله فیشینگ به‌صورت ایمیلی انجام شده و کاربران با دریافت ایمیلی با عنوان Document به صفحات آلوده و قلابی مهاجمان تغییر مسیر داده می‌شوند.

علاوه بر این کدنویسی این موج جدید از حملات فیشینگ به‌گونه‌ای است که تشخیص قلابی بودن آن برای کاربران عادی و حتی کارشناسان بسیار دشوار بوده و این مساله حاکی از آن است که هکرها پیوسته درحال به‌روز کردن شیوه‌های تهاجم خود هستند و به آسانی ردی از خود به جای نمی‌گذارند.

Elastica در گزارشی درباره این آسیب‌پذیری امنیتی نوشت: «استفاده از Google Drive برای میزبانی صفحات فیشینگ به مهاجمان امکان می‌دهد به‌راحتی از اعتماد کاربران به گوگل به نفع خود استفاده کنند.» گوگل بعد از انتشار این گزارش صفحات مورد نظر را از روی سرورهای خود حذف کرد.
به گزارش این شرکت امنیت خدمات ابری، مهاجمان به جای صرف زمان و هزینه فراوان برای راه‌اندازی یک حمله فیشینگ ایمیلی از ضعف سرویس Google Drive در ذخیره‌سازی و ارائه محتوی استفاده کرده‌اند. علاوه بر این بارگذاری این صفحات تحت پروتکل امن HTTPS (پروتکلی که هنگام بارگذاری صفحاتی نظیر پرداخت آنلاین مشاهده می‌کنیم) باعث می‌شود کاربران با خیال راحت و بی هیچ شک و گمانی اطلاعات خود را وارد کنند.
در این مورد خاص، دسترسی به اطلاعات ورود کاربران خدمات گوگل یک پیروزی بزرگ برای مهاجمان محسوب می‌شود.

Elastica در بخش دیگری از گزارش خود نوشت: «مهاجمان برای سواستفاده حداکثری از این آسیب‌پذیری، به‌طور خاص کاربران گوگل را هدف قرار دادند تا از طریق دستیابی به اطلاعات ورود آنها به دامنه گسترده‌ای از خدمات آنلاین گوگل دسترسی یابند، چرا که گوگل از سیستم ورود Single Sign On (SSO) استفاده می‌کند.» سیستم SSO به این معناست که کاربران با یک بار وارد کردن شناسه و گذرواژه خود به تمام خدمات گوگل مانند ایمیل، سرویس ذخیره‌سازی ابری یا Google+ دسترسی پیدا می‌کنند و لازم نیست برای استفاده از هر سرویس به‌طور جداگانه اطلاعات کاربری خود را وارد کنند.
کاربران بعد از دریافت یک ایمیل فیشینگ از آدرس Gmail (آدرسی که مهاجمان کنترل آن را به‌دست گرفته‌اند) به لینکی روی Google Drive وارد شده و صفحه‌ای مشابه صفحه ورود گوگل پیش روی آنها بارگذاری می‌شود. کاربران با وارد کردن اطلاعات کاربری در واقع شناسه و رمز عبور خود را در قالب یک فایل متنی به سرورهای تحت فرمان مهاجمان ارسال می‌کنند. اما این پایان کار نیست و سپس یک صفحه PDF روی مرورگر کاربران بارگذاری می‌شود تا آنها خیال کنند با یک فرآیند معتبر و روزمره سروکار دارند.
این ایمیل‌های آلوده به‌وسیله ابزار امنیت آنلاین گوگل شناسایی نمی‌شوند چرا که مبدا ایمیل یک حساب Gmail بوده و لینک درون آن نیز کاربران را به دامنه‌ای تحت میزبانی googledrive.com تغییر مسیر می‌دهد.

اما در این صفحات آلوده عناصری وجود دارد که باید بیشتر به آن توجه کرد.
«با وارد کردن آدرس drive.google.com، گوگل کاربران را به آدرس accounts.google.com تغییر مسیر می‌دهد و صفحه‌ای با همراه با این نوشته بارگذاری می‌شود: One Account. All of Google. این درحالیست که صفحه گوگل قلابی پیام متفاوتی را به نمایش می‌گذارد: Google Drive. One Storage. اما بسیاری از کاربران قربانی این حمله فیشینگ به چنین ظرایفی دقت نمی‌کنند.
مهاجمان همچنین چند لایه جاوا اسکریپت را به صفحه فیشینگ خود اضافه می‌کنند؛ صفحه‌ای که اطلاعات کاربری قربانیان را به آدرس hxxp://alarabia[.]my/images/Fresh/performact[.]php ارسال می‌کند.