روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ در این مقاله بررسی و تحلیل کرده‌ایم چطور صفحات فیشینگ و نیز علایمی که موقع انفعال از خود نشان می‌دهند جان سالم به در می‌برند. علاوه بر داده‌های کلی، بنابر معیارهای رسمی تعدادی گزینه نیز برای طبقه‌بندی صفحات فیشینگ ارائه دادیم و نتایج را برای هر یک از آن‌ها تحلیل کردیم. با ما همراه باشید.

مقدمه

 داده‌های حاصله و نتیجه‌گیری‌ها را می‌توان برای ارتقای مکانیزم‌های مخصوص اسکن مجدد صفحات که در نهایت مسیرشان به پایگاه‌های اطلاعاتی ضدفیشینگ ختم شده است استفاده نمود. بدین‌ترتیب هم زمان واکنش‌دهی به موارد جدید فیشینگ تعیین می‌شود و هم می‌شود از آن برای مقاصد دیگر استفاده کرد.

متود بازیابی داده

وبسایت‌های گزینش‌شده برای این تحقیق آن‌هایی هستند که موتور امضای ضدفیشینگ ما بین تاریخ‌های 19 جولای تا آگست 2021 «تهدیدهای فیشینگ» شناسایی‌شان کرده‌ است. پایگاه اطلاعاتی این موتور برای جلوگیری از تأخیرها در فاصله‌ی تعیین حکم و آپلود لینک در پایگاه هر دقیقه یک بار تحت نظارت قرار می‌گرفت. برای به حداکثررسانیِ دامنه نمونه و از میان بردن هر مورد پرت و خارج از بحثی، یک لینک از هر زیردامنه انتخاب شد. در کل 5310 لینک جمع‌آوری شدند. اکثریت آن‌ها (5307) به صفحات فیشینگ ختم شدند و این درحالیست که بقیه هم کارشان به صفحات اسکم کشید. در طول دوره سی روزه از لحظه‌ای که حکم فیشینگ برای پیج تعیین شد، این برنامه تحلیلی هر دو ساعت یکبار هر لینکی را مورد بررسی قرار داد و کد واکنش صادرشده از سوی سرور و نیز متن صفحه html بازیابی‌شده (یا در صورت لود نشدن صفحه لاگ خطا) را ذخیره کرد. محتوای هر صفحه سپس با نسخه اولیه‌اش مورد مقایسه قرار گرفت و تمرکزش هم تعداد مشخصه‌ها بود: هش MD5 صفحه، عنوان، سایز. پروسه تحلیلی با جزئیات در جدول زیر به خوبی به تصویر کشیده شده است:

متود پردازش داده

داده‌های زیر برای هر یک لینک در پایان دوره سی روزه ذخیره شدند:

•         حکم‌های تحلیلی تخصیص‌داده‌شده بر اساس چارت بالا
•         کدهای واکنشی سرور
•         لاگ‌های خطا
•         عناوین صفحه با برچسب‌هایی که به صورت دستی بر اساس تحلیل‌ها تعیین شدند
•         این صفحه حاوی فیشینگ یا اسکم است
•         این صفحه یک تحلیل‌برنده‌ی میزبانی[1] است
•         این صفحه یافت یا لود نمی‌شود

به هر مورد در این لیست یک مهر زمانی داده شد تا نشان‌دهنده تعداد ثانیه‌های سپری شده از زمانی که لینک شروع به نظارت کرده باشد. با استفاده از مهرهای زمانی، داده‌ها را در جدولی ثبت کردیم تا نموداری را که چرخه عمر هر لینک را نشان می‌دهد، رسم کنیم. بدین‌ترتیب می‌توانیم تا زمانی که فعالیت فیشینگ در یک صفحه وجود دارد، ردیابی کنیم. ما نتایج تجزیه و تحلیل را نسبت به هر مهر زمان با هم جمع کردیم و تعداد صفحاتی را که پس از مدت زمان مشخصی از زمان شروع نظارت هنوز فعال بودند، محاسبه نمودیم. ما همچنین تعداد صفحاتی را که در این مدت غیرفعال شدند و خطاهایی را که در آخرین دوره عدم فعالیت خود نشان داده بودند محاسبه کردیم (که در ادامه به عنوان "signs of inactivity " یا همان علایم انفعال نامیده می‌شود).

نتایج کلی

چرخه عمر صفحات فیشینگ

گزارشات حاکی از آن است که لینک‌های فیشینگ  در طول دوره نظارت 30 روزه غیرفعال شده‌اند. با توجه به اینکه لینک‌ها توسط برنامه به صورت تدریجی شناسایی شدند، نمودار زمان نسبی نظارت بر هر پیوند را به عنوان تعداد روز نشان می‌دهد. تعداد قابل توجهی از لینک‌ها (1784) پس از اولین روز نظارت غیرفعال بودند.

در یک نگاه، طبقه بندی لینک‌ها بر اساس تعداد ساعاتی که زنده مانده‌اند، نشان می‌دهد که بخش عمده‌ای از صفحات فیشینگ تنها برای کمتر از 24 ساعت فعال بوده‌اند. در اکثر موارد، صفحه در چند ساعت اول عمر خود غیرفعال بود.

تنها در ظرف 30 روز، 3791 (71.4 درصد) صفحات دیگر علایم فعالیت فیشینگ را نشان ندادند. افزون بر این یک چهارم تمام صفحات تنها 13 ساعت پس از شروع نظارت غیرفعال بودند، این درحالیست که نیمی از صفحات بیش از 94 ساعت جان سالم به در بردند.

علایم پایان فعالیت فیشینگ

•         ایست: دامنه با موفقیت به یک آدرس IP ترجمه شد اما هیچ پاسخی از سرور وب دریافت نشد.
•         خطای رزولوشن نام دامنه: دامنه نتوانست در یک آدرس آی‌پی ترجمه شود.
•         فقدان محتوا: محتوای فیشینگ با یک پیام"page not found " جایگزین شده است، یا هنگام تلاش برای باز کردن پیوند، خطای 404 وجود دارد.
•         تحلیل‌برنده‌ی میزبانی: به جای محتوای فیشینگ، صفحه لینک داده شده به وضوح نشان می‌دهد که دامنه میزبانی شده است (به عنوان مثال،  account blocked ،  website under reconstruction ، و غیره).
•         سایر علایم: علائم نادر عدم فعالیت (مثلاً خطای گواهی) یا خطاهایی که به ما اجازه نمی‌دهند متوجه شویم دقیقاً چه اتفاقی افتاده است.

تغییر به سمت صفحه فیشینگ در طول عمرش

در بیشتر موارد، صفحات فیشینگ در طول دوره فعال خود بدون تغییر باقی می‌مانند، اگرچه می‌توانند تغییر کنند. به عنوان مثال، فیشرها می‌توانند نام برند، یعنی سازمان مورد هدفی را که به عنوان نام تجاری معرفی می‌کنند، تغییر دهند. ما تغییرات در سازمان هدف را با تجزیه و تحلیل عنوان صفحه رصد کردیم، زیرا تغییرات در عنوان اغلب نشان از تغییرات در هدف دارد. گزینه دیگر تغییر کد صفحه است که با تجزیه و تحلیل اندازه صفحه آن را شناسایی کردیم. این روش مناسب تری نسبت به تجزیه و تحلیل نمادهای کد است، زیرا به ما اجازه می‌دهد صفحاتی را که دارای متغیرهای تصادفی در کدهای خود هستند فیلتر کنیم. مجرمان سایبری اغلب از آنها برای جلوگیری از مسدود شدن استفاده می‌کنند: مجموع هش کل صفحه، که موتورهای ضد فیشینگ برای شناسایی صفحات مشابه استفاده می‌کنند، زمانیکه حتی کوچکترین اصلاحی انجام می‌شود، تغییر می‌کند. تجزیه و تحلیل اندازه صفحه همچنین به ما امکان می‌دهد تا به سرعت تعداد زیادی از جفت‌های صفحات وبی را پردازش کنیم.

جمع‌بندی

ما مراحل کلیدی چرخه زندگی یک صفحه فیشینگ بررسی کردیم: ایجاد آن، تغییرات در محتوا و پایان فعالیتش. بر اساس نتایج مطالعه نتایجی که بدست آمد از قرار زیر می‌باشد:

•         اکثر صفحات فیشینگ برای مدت کوتاهی فعالیت دارند: نیمی از لینک‌ها از پیش ظرف کمتر از یک هفته بعد از شناسایی غیرفعال بودند.
•         صفحات فیشینگ مدرن به ندرت تغییر می‌کنند: هیچ یک از صفحات نظارت‌شده سازمان مورد هدف خود را در طول عمر خود تغییر ندادند. تغییرات عمده در محتوا عمدتاً در صفحاتی مشاهده شد که بازیکنان یک بازی آنلاین هدف قرار داده می‌شدند. طی این فریبکاری به آن‌ها آفرها و هدایای معمولی پیشنهاد می‌شد. مجرمان سایبری باید صفحات فیشینگ خود را با این پیشنهادات هماهنگ کنند و صفحات را تا حد ممکن طوری طراحی نمایند که متقاعدکننده به نظر برسد.
•         به طور متوسط فقط نیمی از صفحات timeout را علامت انفعال نشان دادند. سایر علایم محبوب شامل رزولوشن ناموفق نام دامنه، عدم محتوا و تحلیل‌برنده‌ی میزبانی می‌شود.
•         تقریباً یک سوم لینک‌ها به سایت‌های میزبانی‌شده ختم می‌شوند- این دسته از لینک‌ها برای کوتاهترین مدت فعال ماندند. در برخی موارد این وبسایت‌ها تنها چند ساعت عمر داشتند.

[1] Hosting stub

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.