روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ متخصصین امنیت اطلاعات سازمانی معمولاً تعداد معدودی از کارمندان مورد اعتماد را می‌شناسند که روی لینک‌های خطرناک کلیک نمی‌کنند و اینگونه از قرار گرفتن در معرض تهدیدهای سایبری جلوگیری می‌کنند. برخی کارمندان اما بهانه می‌آورند که لینک‌هایی که رویشان کلیک می‌کنند به نظر بی‌خطر می‌آیند و ما باید خطاب به آن‌ها بگوییم که: مجرمان سایبری اغلب با لباس مبدل لینک‌های فیشینگ و مخرب وارد کار می‌شوند و سعی می‌کنند هم فیلترهای میل و ناظرهای انسانی را فریب دهند. آنچه می‌خواهند، مجاب کردن قربانی (حتی اگر با توجه به توصیه‌های ما آن قربانی یوآرال‌ها را هم چک کرده باشد) است که روی آدرسی که آن‌ها را به آدرس دیگری می‌برد کلیک کند. این شما و این هم شایع‌ترین متودهای استفاده‌شده توسط مجرمان سایبری را برای پنهان کردن یوآرال‌های مخرب یا فیشینگ. با ما همراه باشید.

نماد @ در آدرس

ساده‌ترین راه برای پنهان کردن دامنه اصلی در آدرس، استفاده از نماد @ در یوآرال است. این یک نماد کاملاً قانونی است که می‌توان از آن برای ادغام لاگین و پسورد در آدرس وبسایت استفاده کرد- http عبور اطلاعات محرمانه را به سرور وب از طریق یوآرال تنها با استفاده از لاگین مجاز می‌کند:

با این فرمت: password@domain.com

اگر داده پیش از نماد @ ناصحیح باشد و برای احراز مناسب نباشد، مرورگر آن را دور می‌اندازد و کاربر را به آدرس بعد از ادساین هدایت می‌کند. پس مجرمان سایبری این راهکار را پیش می‌برند:

آن‌ها نام پیج متقاعدکننده‌ای دست و پا می‌کنند، اسم سایت قانونی را در آن استفاده کرده و آدرس واقعی را بعد از نماد @ قرار می‌دهند. برای مثال به آدرس بلاگ ما با همین پوشش توجه کنید:

http://convincing-business-related-page-name-pretending-to-be-on-google.com@kaspersky.com/blog/

شبیه به پیجی است با کلی کلمه در نام، میزبانی‌شده در جایی از دامنه گوگل. اما مرورگر شما را به http://kaspersky.com/blog/ می‌برد.

اعداد به جای آدرس آی‌پی

در متود قبلی، مهاجمین اغلب سعی دارند کاربر را با نام بلند پیج گیج کنند تا حواس او از آدرس واقعی پرت شود؛ چون آن هنوز در یوآرال وجود دارد. اما می‌شود این را هم تماماً پنهان کرد: با برگرداندن آدرس آی‌پی سایت به یک ادغام‌گر.

همانطور که ممکن است بدانید، آدرس‌های آی‌پی خیلی خوب در پایگاه‌های اطلاعاتی ذخیره نمی‌شوند و از این رو در یک برهه زمانی مکانیزمی برای برگردانِ آدرس آی‌پی به ادغام‌گرها و بالعکس ابداع شد (که راه ذخیره‌سازی راحتی ارائه می‌دهد). و این روزها وقتی مرورگرهای مدرن عددی را در یوآرال می‌بینند، خودکار آن را به آدرس آی‌پی برمی‌گردانند. این با ترکیب نماد @ به طورمؤثری دامنه واقعی را پنهان می‌کند و اینگونه است که لینک وبسایت سازمانی ما ظاهری چنین به خود می‌گیرد:

http://google.com…%@3109359386/

مجرمان سایبری هنگام استفاده از این ترفند، سعی دارند تمرکز خود را روی دامنه پیش از نماد @ بگذارند و همه‌چیز دیگر را شبیه به نوعی پارامتر درست کنند. ابزارهای بازاریابی مختلف اغلب هر نوع تگ الفبایی را در لینک‌های وبی جای می‌دهند.

سرویس‌های کوتاه‌کننده URL

یکی دیگر از راه‌های ساده پنهان کردن یوآرال واقعی استفاده از یک سرویس قانونی کوتاه‌کننده لینک است. شما می‌توانید هر چیزی را در یک لینک کوتاه جای دهید و محال است بدون کلیک بشود چک کرد آن پشت چه خبر است.

http://tinyurl.com/ypzuvcht

صفحات موبایلی پرشتاب گوگل

چند سال پیش گوگل و برخی شرکا فریم‌ورک Google AMP را ساختند- سرویسی که قرار بود به وب‌پیج‌ها کمک کند روی دستگاه‌های موبایل سریعتر لود شوند. در سال 2017، گوگل ادعا کرد صفحات AMPed در کمتر از یک ثانیه لود می‌شوند و ده برابر داده کمتری در مقایسه با همان صفحات بدون AMP استفاده می‌کنند. اکنون مهاجمین یاد گرفتند چطور از همین ساز و کار برای فیشینگ استفاده کنند.

ایمیل حاوی لینکی است که با google.com/amp/s/ شروع می‌شود اما اگر کاربر روی آن کلیک کند، به سایتی برده خواهد شد که اصلاً به گوگل تعلق ندارد. حتی برخی فیلترهای ضدفیشینگ اغلب فریب این ترفند را می‌خورند: به دلیل اعتبار گوگل فکر می‌کنند چنین لینکی به طور کافی قابل اطمینان است.

ارائه‌دهندگان سرویس ایمیل

روش دیگر برای پنهان کردن صفحه‌تان پشت یوآرال شخص دیگر استفاده از     ESP است که سرویسی است برای ایجاد خبرنامه‌های قانونی و سایر میل‌ها. خلاصه‌اش اینکه مجرمان یکی از این سرویس‌ها را به خدمت گرفته، کمپین میل درست کرده، یوآرال فیشینگ را ورودی کرده و در نتیجه آدرس تمیز و حاضر آماده‌ای نصیبش خواهد شد که اعتبار شرکت ESP را هم دارد. شرکت‌های ESP البته که سعی دارند با این سوءاستفاده‌ها مبارزه کنند اما همیشه هم این تقابل جواب نمی‌دهد.

ریدایرکت در مقابل Baidu

موتور جست‌وجوی چینی به نام Baidu رویکرد جذابی به نمایش نتایج سرچ دارد: برخلاف گوگل به شما لینک به سایت نمی‌دهد بلکه در عوض لینک‌ها با ریدایرکتی به سایتی که سرچ شده به خودشان برمی‌گردند. منظور اینکه برای تغییر قیافه‌ی یوآرال بیمار در قالب Baidu همه آنچه مجرمان سایبری نیاز دارند سرچ صفحه است (و اگر آدرس درست را وارد کنید این حتی ساده‌تر هم می‌شود) و سپس کپی پیست کردن آن در ایمیل فیشینگ.

https://www.baidu.com/link?url=vukOBuG2XyoQemvCQbKuBASjyO_Bbnajh-Y2tfpVUdS&wd=&eqid=d89f5f0b0008c16800000006650d73cf

و به طور کلی، هنوز نمی‌دانیم چند سرویس دیگر وجود دارند که می‌توانند یوآرال‌ها را ریدایرکت کنند یا حتی صفحات را از جانب خود ذخیره نمایند (خواه برای نیاز خود و یا برای راحتی در ارسال محتوا).

برداشت‌های عملی

فرقی ندارد چطور کارمندانتان به خود مطمئن هستند؛ به هر حال نمی‌شود کاملاً اذعان کرد آن‌ها فرق لینک خطرناک و بی‌‌خطر را می‌دانند و از این رو توصیه می‌کنیم به آن‌ها راهکارهای محافظتی پیشنهاد دهید و افزون بر این توصیه می‌کنیم از چنین راهکارهایی هم برای سطح سرور میل سازمانی و هم سطح دستگاه‌های کاری که به اینترنت وصل هستند استفاده کنید.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.