چرخه عمر صفحات فیشینگ

02 بهمن 1400 چرخه عمر صفحات فیشینگ

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ در این مقاله بررسی و تحلیل کرده‌ایم چطور صفحات فیشینگ و نیز علایمی که موقع انفعال از خود نشان می‌دهند جان سالم به در می‌برند. علاوه بر داده‌های کلی، بنابر معیارهای رسمی تعدادی گزینه نیز برای طبقه‌بندی صفحات فیشینگ ارائه دادیم و نتایج را برای هر یک از آن‌ها تحلیل کردیم. با ما همراه باشید.

مقدمه

 داده‌های حاصله و نتیجه‌گیری‌ها را می‌توان برای ارتقای مکانیزم‌های مخصوص اسکن مجدد صفحات که در نهایت مسیرشان به پایگاه‌های اطلاعاتی ضدفیشینگ ختم شده است استفاده نمود. بدین‌ترتیب هم زمان واکنش‌دهی به موارد جدید فیشینگ تعیین می‌شود و هم می‌شود از آن برای مقاصد دیگر استفاده کرد.

متود بازیابی داده

وبسایت‌های گزینش‌شده برای این تحقیق آن‌هایی هستند که موتور امضای ضدفیشینگ ما بین تاریخ‌های 19 جولای تا آگست 2021 «تهدیدهای فیشینگ» شناسایی‌شان کرده‌ است. پایگاه اطلاعاتی این موتور برای جلوگیری از تأخیرها در فاصله‌ی تعیین حکم و آپلود لینک در پایگاه هر دقیقه یک بار تحت نظارت قرار می‌گرفت. برای به حداکثررسانیِ دامنه نمونه و از میان بردن هر مورد پرت و خارج از بحثی، یک لینک از هر زیردامنه انتخاب شد. در کل 5310 لینک جمع‌آوری شدند. اکثریت آن‌ها (5307) به صفحات فیشینگ ختم شدند و این درحالیست که بقیه هم کارشان به صفحات اسکم کشید. در طول دوره سی روزه از لحظه‌ای که حکم فیشینگ برای پیج تعیین شد، این برنامه تحلیلی هر دو ساعت یکبار هر لینکی را مورد بررسی قرار داد و کد واکنش صادرشده از سوی سرور و نیز متن صفحه html بازیابی‌شده (یا در صورت لود نشدن صفحه لاگ خطا) را ذخیره کرد. محتوای هر صفحه سپس با نسخه اولیه‌اش مورد مقایسه قرار گرفت و تمرکزش هم تعداد مشخصه‌ها بود: هش MD5 صفحه، عنوان، سایز. پروسه تحلیلی با جزئیات در جدول زیر به خوبی به تصویر کشیده شده است:

متود پردازش داده

داده‌های زیر برای هر یک لینک در پایان دوره سی روزه ذخیره شدند:

  •         حکم‌های تحلیلی تخصیص‌داده‌شده بر اساس چارت بالا
  •         کدهای واکنشی سرور
  •         لاگ‌های خطا
  •         عناوین صفحه با برچسب‌هایی که به صورت دستی بر اساس تحلیل‌ها تعیین شدند
  •         این صفحه حاوی فیشینگ یا اسکم است
  •         این صفحه یک تحلیل‌برنده‌ی میزبانی[1] است
  •         این صفحه یافت یا لود نمی‌شود

به هر مورد در این لیست یک مهر زمانی داده شد تا نشان‌دهنده تعداد ثانیه‌های سپری شده از زمانی که لینک شروع به نظارت کرده باشد. با استفاده از مهرهای زمانی، داده‌ها را در جدولی ثبت کردیم تا نموداری را که چرخه عمر هر لینک را نشان می‌دهد، رسم کنیم. بدین‌ترتیب می‌توانیم تا زمانی که فعالیت فیشینگ در یک صفحه وجود دارد، ردیابی کنیم. ما نتایج تجزیه و تحلیل را نسبت به هر مهر زمان با هم جمع کردیم و تعداد صفحاتی را که پس از مدت زمان مشخصی از زمان شروع نظارت هنوز فعال بودند، محاسبه نمودیم. ما همچنین تعداد صفحاتی را که در این مدت غیرفعال شدند و خطاهایی را که در آخرین دوره عدم فعالیت خود نشان داده بودند محاسبه کردیم (که در ادامه به عنوان "signs of inactivity " یا همان علایم انفعال نامیده می‌شود).

نتایج کلی

چرخه عمر صفحات فیشینگ

گزارشات حاکی از آن است که لینک‌های فیشینگ  در طول دوره نظارت 30 روزه غیرفعال شده‌اند. با توجه به اینکه لینک‌ها توسط برنامه به صورت تدریجی شناسایی شدند، نمودار زمان نسبی نظارت بر هر پیوند را به عنوان تعداد روز نشان می‌دهد. تعداد قابل توجهی از لینک‌ها (1784) پس از اولین روز نظارت غیرفعال بودند.

در یک نگاه، طبقه بندی لینک‌ها بر اساس تعداد ساعاتی که زنده مانده‌اند، نشان می‌دهد که بخش عمده‌ای از صفحات فیشینگ تنها برای کمتر از 24 ساعت فعال بوده‌اند. در اکثر موارد، صفحه در چند ساعت اول عمر خود غیرفعال بود.

تنها در ظرف 30 روز، 3791 (71.4 درصد) صفحات دیگر علایم فعالیت فیشینگ را نشان ندادند. افزون بر این یک چهارم تمام صفحات تنها 13 ساعت پس از شروع نظارت غیرفعال بودند، این درحالیست که نیمی از صفحات بیش از 94 ساعت جان سالم به در بردند.

علایم پایان فعالیت فیشینگ

  •         ایست: دامنه با موفقیت به یک آدرس IP ترجمه شد اما هیچ پاسخی از سرور وب دریافت نشد.
  •         خطای رزولوشن نام دامنه: دامنه نتوانست در یک آدرس آی‌پی ترجمه شود.
  •         فقدان محتوا: محتوای فیشینگ با یک پیام"page not found " جایگزین شده است، یا هنگام تلاش برای باز کردن پیوند، خطای 404 وجود دارد.
  •         تحلیل‌برنده‌ی میزبانی: به جای محتوای فیشینگ، صفحه لینک داده شده به وضوح نشان می‌دهد که دامنه میزبانی شده است (به عنوان مثال،  account blocked ،  website under reconstruction ، و غیره).
  •         سایر علایم: علائم نادر عدم فعالیت (مثلاً خطای گواهی) یا خطاهایی که به ما اجازه نمی‌دهند متوجه شویم دقیقاً چه اتفاقی افتاده است.

تغییر به سمت صفحه فیشینگ در طول عمرش

در بیشتر موارد، صفحات فیشینگ در طول دوره فعال خود بدون تغییر باقی می‌مانند، اگرچه می‌توانند تغییر کنند. به عنوان مثال، فیشرها می‌توانند نام برند، یعنی سازمان مورد هدفی را که به عنوان نام تجاری معرفی می‌کنند، تغییر دهند. ما تغییرات در سازمان هدف را با تجزیه و تحلیل عنوان صفحه رصد کردیم، زیرا تغییرات در عنوان اغلب نشان از تغییرات در هدف دارد. گزینه دیگر تغییر کد صفحه است که با تجزیه و تحلیل اندازه صفحه آن را شناسایی کردیم. این روش مناسب تری نسبت به تجزیه و تحلیل نمادهای کد است، زیرا به ما اجازه می‌دهد صفحاتی را که دارای متغیرهای تصادفی در کدهای خود هستند فیلتر کنیم. مجرمان سایبری اغلب از آنها برای جلوگیری از مسدود شدن استفاده می‌کنند: مجموع هش کل صفحه، که موتورهای ضد فیشینگ برای شناسایی صفحات مشابه استفاده می‌کنند، زمانیکه حتی کوچکترین اصلاحی انجام می‌شود، تغییر می‌کند. تجزیه و تحلیل اندازه صفحه همچنین به ما امکان می‌دهد تا به سرعت تعداد زیادی از جفت‌های صفحات وبی را پردازش کنیم.

جمع‌بندی

ما مراحل کلیدی چرخه زندگی یک صفحه فیشینگ بررسی کردیم: ایجاد آن، تغییرات در محتوا و پایان فعالیتش. بر اساس نتایج مطالعه نتایجی که بدست آمد از قرار زیر می‌باشد:

  •         اکثر صفحات فیشینگ برای مدت کوتاهی فعالیت دارند: نیمی از لینک‌ها از پیش ظرف کمتر از یک هفته بعد از شناسایی غیرفعال بودند.
  •         صفحات فیشینگ مدرن به ندرت تغییر می‌کنند: هیچ یک از صفحات نظارت‌شده سازمان مورد هدف خود را در طول عمر خود تغییر ندادند. تغییرات عمده در محتوا عمدتاً در صفحاتی مشاهده شد که بازیکنان یک بازی آنلاین هدف قرار داده می‌شدند. طی این فریبکاری به آن‌ها آفرها و هدایای معمولی پیشنهاد می‌شد. مجرمان سایبری باید صفحات فیشینگ خود را با این پیشنهادات هماهنگ کنند و صفحات را تا حد ممکن طوری طراحی نمایند که متقاعدکننده به نظر برسد.
  •         به طور متوسط فقط نیمی از صفحات timeout را علامت انفعال نشان دادند. سایر علایم محبوب شامل رزولوشن ناموفق نام دامنه، عدم محتوا و تحلیل‌برنده‌ی میزبانی می‌شود.
  •         تقریباً یک سوم لینک‌ها به سایت‌های میزبانی‌شده ختم می‌شوند- این دسته از لینک‌ها برای کوتاهترین مدت فعال ماندند. در برخی موارد این وبسایت‌ها تنها چند ساعت عمر داشتند.

 

[1] Hosting stub




منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    9,451,490 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    14,181,740 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    3,545,435 ریال14,181,740 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    94,595,990 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    13,379,850 ریال26,759,700 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    19,186,795 ریال38,373,590 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    20,524,780 ریال41,049,560 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    68,111,996 ریال170,279,990 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    108,981,356 ریال272,453,390 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    81,735,116 ریال204,337,790 ریال
    خرید
  • Kaspersky Small Office Security

    130,929,716 ریال327,324,290 ریال
    خرید
  • Kaspersky Small Office Security

    95,358,236 ریال238,395,590 ریال
    خرید
  • Kaspersky Small Office Security

    152,499,656 ریال381,249,140 ریال
    خرید
  • Kaspersky Small Office Security

    108,981,356 ریال272,453,390 ریال
    خرید
  • Kaspersky Small Office Security

    174,448,016 ریال436,120,040 ریال
    خرید
  • Kaspersky Small Office Security

    122,604,476 ریال306,511,190 ریال
    خرید
  • Kaspersky Small Office Security

    196,017,956 ریال490,044,890 ریال
    خرید
  • Kaspersky Small Office Security

    124,874,996 ریال312,187,490 ریال
    خرید
  • Kaspersky Small Office Security

    199,802,156 ریال499,505,390 ریال
    خرید
  • Kaspersky Small Office Security

    175,961,696 ریال439,904,240 ریال
    خرید
  • Kaspersky Small Office Security

    281,540,876 ریال703,852,190 ریال
    خرید
  • Kaspersky Small Office Security

    227,048,396 ریال567,620,990 ریال
    خرید
  • Kaspersky Small Office Security

    363,279,596 ریال908,198,990 ریال
    خرید
  • Kaspersky Small Office Security

    274,350,896 ریال685,877,240 ریال
    خرید
  • Kaspersky Small Office Security

    438,963,596 ریال1,097,408,990 ریال
    خرید
  • Kaspersky Small Office Security

    520,323,896 ریال1,300,809,740 ریال
    خرید
  • Kaspersky Small Office Security

    832,520,396 ریال2,081,300,990 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد