حتى عند تصفّح المواقع التي تحتوي بروتوكول SSL تكون عُرضةً لهجمات التصيُّد!

هجوم التصيُّـد أو مايُعرف بـ “Phishing Attack” قد لاقى رواجاً كبيراً في الفترات الأخيرة، وللتذكير فإن هجمات التصيُّـد تتم عبر إرسال رابط خبيث/مزيف إلى الضحيّة، حيث يقوم الضحيّة بإدخال معلومات تسجيل الدخول ومن ثم يتم إرسالها للمُهاجم/المُخترق.

السبب الذي دعاني للشرح في هذا الأمر أنَّ معظم مستخدمي الانترنت يُميّزون الصفحات الحقيقيّة عن المزيّفة عبر وجود طبقة التشفير SSL/TLS في شريط العناوين، مع التحقق من باقي الرابط على أنّه صحيح.

البديل الذي قد يستخدمه المهاجمون عوضاً عن هجمات التصيُّـد هو حجز دومين باستخدام الترميز المُوَحَّد (unicode) والذي يبدو ذات الدومين الحقيقي ومع الحصول على SSL بشكل مجاني سيكون الأمر أسهل بكثير لخداع المستخدم والحصول على بيانات تسجيل الدخول.

الترميز المُوَحَّد : هو معيار يمكن الحواسيب من تمثيل النصوص المكتوبة بأغلب نظم الكتابة ومعالجتها. – Wikipedia

حتى هذه اللحظة يمكن خداع الضحيّة الذي يستخدم متصفحات أمثال كروم Chrome، فيرفوكس Firefox بالإصدارات الحاليّة والتي تحمل الأرقام 57.0.2987، 52.0.2 على التوالي بسهولة، على عكس مستخدمي انترنت اكسبلورر IE ، وسفاري Safari.

قام أحدهم بتقليد/ تزييف موقع للتأمين الصحّي يحمل الـدومين Epic.com (يمكنكم زيارة الموقع المُزيَّف عبر كروم/ فايرفوكس من هُنا، والموقع الحقيقي من هُنا).

الموقع الحقيقي على متصفح كرومthe-real-epic-dot-com-1

الموقع المزيّف أيضاً على كروم

wordfence-fake-epic-in-chrome

الموقع الحقيقي على فيرفوكس

real-epic-in-firefox

الموقع المزيّف على فيرفوكس

wordfence-fake-epic-in-firefox-1

كما رأينا أعلاه، لافرق بين الموقعين من حيث التشفير، والاسم، لكنهما مختلفان بشكل تام!
الموقع المزيّف تم حجزه بهذا الدومين ” https://xn--e1awd7f.com ” لكنه يظهر في شريط العناوين بشكل مختلف ألا وهو ” https://www.epic.com “.

– كيف يحصل كل هذا ؟

حسناً وببساطة، إنَّ بادئة الموقع المزيَّف هي “xn--” تُخبر متصفح الانترنت أن مايتبعها هو Punycode أي يجب تحويله إلى الصيغة المتعارف عليها عالمياً في حجز الـ Domains والتي هي الأحرف A-Z.
بالتالي ماحدث هو كتابة كلٍّ من الأحرف “e”، “p”، “i”، “c” بصيغة unicode والتي عند استخدام Punycode ستصبح “epic” والتي تبدو تماماً كالموقع الحقيقي.

– كيف يمكن تجنّب الوقوع كَضحيّة لمثل هذه الهجمة ؟

إن كُنتم من مستخدمي متصفح فيرفوكس Firefox :

  1. اكتب about:config في شريط العناوين ثم انتر.
  2. قم بالبحث عن punycode، واختر network.IDN_show_punycode
  3. قم بتغيير القيمة إلى True.
  4. الآن قم بزيارة الموقع المُزيَّف من هُنا للتأكّد أنك أصبحت قادراً على رؤية الدومين على حقيقته كما في الصورة أدناه.wordfence-real-demo-url

أمَّا في حال كُنتم من مستخدمي متصفح كروم Chrome وما بُنيَ عليه عليكم الانتظار لأيام قليلة حتى يتم الإعلان عن تحديث جديد، يمكنكم و بشكلٍ مؤقت القيام بنسخ الرابط من شريط العناوين ولصقه في أي مكان مثل محرر النصوص أو المفكرة، إن كانت بادئة الرابط ب ” https://xn –” فهذا يعني أنَّ الموقع ليس بالحقيقي وبالتالي يجب الحذر وعدم إدخال بياناتكم الخاصّة.

Advertisements

Posted on 17/04/2017, in Security and tagged , , , , . Bookmark the permalink. أضف تعليق.

اترك رد

إملأ الحقول أدناه بالمعلومات المناسبة أو إضغط على إحدى الأيقونات لتسجيل الدخول:

WordPress.com Logo

أنت تعلق بإستخدام حساب WordPress.com. تسجيل خروج   / تغيير )

صورة تويتر

أنت تعلق بإستخدام حساب Twitter. تسجيل خروج   / تغيير )

Facebook photo

أنت تعلق بإستخدام حساب Facebook. تسجيل خروج   / تغيير )

Google+ photo

أنت تعلق بإستخدام حساب Google+. تسجيل خروج   / تغيير )

Connecting to %s

%d مدونون معجبون بهذه: