چرخه عمر صفحات فیشینگ

02 بهمن 1400 چرخه عمر صفحات فیشینگ

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ در این مقاله بررسی و تحلیل کرده‌ایم چطور صفحات فیشینگ و نیز علایمی که موقع انفعال از خود نشان می‌دهند جان سالم به در می‌برند. علاوه بر داده‌های کلی، بنابر معیارهای رسمی تعدادی گزینه نیز برای طبقه‌بندی صفحات فیشینگ ارائه دادیم و نتایج را برای هر یک از آن‌ها تحلیل کردیم. با ما همراه باشید.

مقدمه

 داده‌های حاصله و نتیجه‌گیری‌ها را می‌توان برای ارتقای مکانیزم‌های مخصوص اسکن مجدد صفحات که در نهایت مسیرشان به پایگاه‌های اطلاعاتی ضدفیشینگ ختم شده است استفاده نمود. بدین‌ترتیب هم زمان واکنش‌دهی به موارد جدید فیشینگ تعیین می‌شود و هم می‌شود از آن برای مقاصد دیگر استفاده کرد.

متود بازیابی داده

وبسایت‌های گزینش‌شده برای این تحقیق آن‌هایی هستند که موتور امضای ضدفیشینگ ما بین تاریخ‌های 19 جولای تا آگست 2021 «تهدیدهای فیشینگ» شناسایی‌شان کرده‌ است. پایگاه اطلاعاتی این موتور برای جلوگیری از تأخیرها در فاصله‌ی تعیین حکم و آپلود لینک در پایگاه هر دقیقه یک بار تحت نظارت قرار می‌گرفت. برای به حداکثررسانیِ دامنه نمونه و از میان بردن هر مورد پرت و خارج از بحثی، یک لینک از هر زیردامنه انتخاب شد. در کل 5310 لینک جمع‌آوری شدند. اکثریت آن‌ها (5307) به صفحات فیشینگ ختم شدند و این درحالیست که بقیه هم کارشان به صفحات اسکم کشید. در طول دوره سی روزه از لحظه‌ای که حکم فیشینگ برای پیج تعیین شد، این برنامه تحلیلی هر دو ساعت یکبار هر لینکی را مورد بررسی قرار داد و کد واکنش صادرشده از سوی سرور و نیز متن صفحه html بازیابی‌شده (یا در صورت لود نشدن صفحه لاگ خطا) را ذخیره کرد. محتوای هر صفحه سپس با نسخه اولیه‌اش مورد مقایسه قرار گرفت و تمرکزش هم تعداد مشخصه‌ها بود: هش MD5 صفحه، عنوان، سایز. پروسه تحلیلی با جزئیات در جدول زیر به خوبی به تصویر کشیده شده است:

متود پردازش داده

داده‌های زیر برای هر یک لینک در پایان دوره سی روزه ذخیره شدند:

  •         حکم‌های تحلیلی تخصیص‌داده‌شده بر اساس چارت بالا
  •         کدهای واکنشی سرور
  •         لاگ‌های خطا
  •         عناوین صفحه با برچسب‌هایی که به صورت دستی بر اساس تحلیل‌ها تعیین شدند
  •         این صفحه حاوی فیشینگ یا اسکم است
  •         این صفحه یک تحلیل‌برنده‌ی میزبانی[1] است
  •         این صفحه یافت یا لود نمی‌شود

به هر مورد در این لیست یک مهر زمانی داده شد تا نشان‌دهنده تعداد ثانیه‌های سپری شده از زمانی که لینک شروع به نظارت کرده باشد. با استفاده از مهرهای زمانی، داده‌ها را در جدولی ثبت کردیم تا نموداری را که چرخه عمر هر لینک را نشان می‌دهد، رسم کنیم. بدین‌ترتیب می‌توانیم تا زمانی که فعالیت فیشینگ در یک صفحه وجود دارد، ردیابی کنیم. ما نتایج تجزیه و تحلیل را نسبت به هر مهر زمان با هم جمع کردیم و تعداد صفحاتی را که پس از مدت زمان مشخصی از زمان شروع نظارت هنوز فعال بودند، محاسبه نمودیم. ما همچنین تعداد صفحاتی را که در این مدت غیرفعال شدند و خطاهایی را که در آخرین دوره عدم فعالیت خود نشان داده بودند محاسبه کردیم (که در ادامه به عنوان "signs of inactivity " یا همان علایم انفعال نامیده می‌شود).

نتایج کلی

چرخه عمر صفحات فیشینگ

گزارشات حاکی از آن است که لینک‌های فیشینگ  در طول دوره نظارت 30 روزه غیرفعال شده‌اند. با توجه به اینکه لینک‌ها توسط برنامه به صورت تدریجی شناسایی شدند، نمودار زمان نسبی نظارت بر هر پیوند را به عنوان تعداد روز نشان می‌دهد. تعداد قابل توجهی از لینک‌ها (1784) پس از اولین روز نظارت غیرفعال بودند.

در یک نگاه، طبقه بندی لینک‌ها بر اساس تعداد ساعاتی که زنده مانده‌اند، نشان می‌دهد که بخش عمده‌ای از صفحات فیشینگ تنها برای کمتر از 24 ساعت فعال بوده‌اند. در اکثر موارد، صفحه در چند ساعت اول عمر خود غیرفعال بود.

تنها در ظرف 30 روز، 3791 (71.4 درصد) صفحات دیگر علایم فعالیت فیشینگ را نشان ندادند. افزون بر این یک چهارم تمام صفحات تنها 13 ساعت پس از شروع نظارت غیرفعال بودند، این درحالیست که نیمی از صفحات بیش از 94 ساعت جان سالم به در بردند.

علایم پایان فعالیت فیشینگ

  •         ایست: دامنه با موفقیت به یک آدرس IP ترجمه شد اما هیچ پاسخی از سرور وب دریافت نشد.
  •         خطای رزولوشن نام دامنه: دامنه نتوانست در یک آدرس آی‌پی ترجمه شود.
  •         فقدان محتوا: محتوای فیشینگ با یک پیام"page not found " جایگزین شده است، یا هنگام تلاش برای باز کردن پیوند، خطای 404 وجود دارد.
  •         تحلیل‌برنده‌ی میزبانی: به جای محتوای فیشینگ، صفحه لینک داده شده به وضوح نشان می‌دهد که دامنه میزبانی شده است (به عنوان مثال،  account blocked ،  website under reconstruction ، و غیره).
  •         سایر علایم: علائم نادر عدم فعالیت (مثلاً خطای گواهی) یا خطاهایی که به ما اجازه نمی‌دهند متوجه شویم دقیقاً چه اتفاقی افتاده است.

تغییر به سمت صفحه فیشینگ در طول عمرش

در بیشتر موارد، صفحات فیشینگ در طول دوره فعال خود بدون تغییر باقی می‌مانند، اگرچه می‌توانند تغییر کنند. به عنوان مثال، فیشرها می‌توانند نام برند، یعنی سازمان مورد هدفی را که به عنوان نام تجاری معرفی می‌کنند، تغییر دهند. ما تغییرات در سازمان هدف را با تجزیه و تحلیل عنوان صفحه رصد کردیم، زیرا تغییرات در عنوان اغلب نشان از تغییرات در هدف دارد. گزینه دیگر تغییر کد صفحه است که با تجزیه و تحلیل اندازه صفحه آن را شناسایی کردیم. این روش مناسب تری نسبت به تجزیه و تحلیل نمادهای کد است، زیرا به ما اجازه می‌دهد صفحاتی را که دارای متغیرهای تصادفی در کدهای خود هستند فیلتر کنیم. مجرمان سایبری اغلب از آنها برای جلوگیری از مسدود شدن استفاده می‌کنند: مجموع هش کل صفحه، که موتورهای ضد فیشینگ برای شناسایی صفحات مشابه استفاده می‌کنند، زمانیکه حتی کوچکترین اصلاحی انجام می‌شود، تغییر می‌کند. تجزیه و تحلیل اندازه صفحه همچنین به ما امکان می‌دهد تا به سرعت تعداد زیادی از جفت‌های صفحات وبی را پردازش کنیم.

جمع‌بندی

ما مراحل کلیدی چرخه زندگی یک صفحه فیشینگ بررسی کردیم: ایجاد آن، تغییرات در محتوا و پایان فعالیتش. بر اساس نتایج مطالعه نتایجی که بدست آمد از قرار زیر می‌باشد:

  •         اکثر صفحات فیشینگ برای مدت کوتاهی فعالیت دارند: نیمی از لینک‌ها از پیش ظرف کمتر از یک هفته بعد از شناسایی غیرفعال بودند.
  •         صفحات فیشینگ مدرن به ندرت تغییر می‌کنند: هیچ یک از صفحات نظارت‌شده سازمان مورد هدف خود را در طول عمر خود تغییر ندادند. تغییرات عمده در محتوا عمدتاً در صفحاتی مشاهده شد که بازیکنان یک بازی آنلاین هدف قرار داده می‌شدند. طی این فریبکاری به آن‌ها آفرها و هدایای معمولی پیشنهاد می‌شد. مجرمان سایبری باید صفحات فیشینگ خود را با این پیشنهادات هماهنگ کنند و صفحات را تا حد ممکن طوری طراحی نمایند که متقاعدکننده به نظر برسد.
  •         به طور متوسط فقط نیمی از صفحات timeout را علامت انفعال نشان دادند. سایر علایم محبوب شامل رزولوشن ناموفق نام دامنه، عدم محتوا و تحلیل‌برنده‌ی میزبانی می‌شود.
  •         تقریباً یک سوم لینک‌ها به سایت‌های میزبانی‌شده ختم می‌شوند- این دسته از لینک‌ها برای کوتاهترین مدت فعال ماندند. در برخی موارد این وبسایت‌ها تنها چند ساعت عمر داشتند.

 

[1] Hosting stub




منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security

    ایمن بمانید- هرآنچه در محل کار و خانه انجام می‌دهید هرآنچه در محیط آنلاین انجام می‌دهید- روی دستگاه‌های پی‌سی، مک و اندروید- بسته‌ی امنیتی پیشرفته و تک‌لایسنسیِ ما به شما کمک ...

    9,824,880 ریال
    خرید
  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    3,272,880 ریال
    خرید
  • Kaspersky Total Security

    قوی‌ترین و پرفروش‌ترین مجموعه‌‌ امنیتی ما امنیت خانواده چنددستگاهه مجهز به آنتی‌ویروس، ضدباج‌افزار، امنیت وبکم، مدیر کلمه‌عبور و 87 فناوری دیگر، همگی با یک لایسنس. ...

    13,100,880 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    4,910,880 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    4,910,880 ریال
    خرید
  • Kaspersky Antivirus

    بهترین آنتی‌ویروس ما برای ویندوز پی‌سی شما جدیدترین ویروس‌ها، باج افزارها، جاسوس‌افزارها، رمزگرها و غیره را بلاک کرده و کمک می‌کند جلوی بدافزار ماینینگِ رمزارز -که به ...

    6,548,880 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 25 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    11,793,600 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد