نگاهی به نقش زیرساخت‌ها و مسئولیت فراموش‌شده شرکت‌ها؛ چرا مردم هنوز فریب فیشینگ را می‌خورند؟

با وجود سال‌ها اطلاع‌رسانی عمومی، هشدارهای امنیتی، آموزش‌های پیاپی و حتی تجربه‌های تلخ، همچنان کاربران زیادی قربانی حملات فیشینگ می‌شوند. پیام‌ها کماکان کلیک می‌خورند، لینک‌های جعلی باز می‌شوند و اطلاعات حساس در اختیار مهاجمان قرار می‌گیرد. در نگاه اول، این موضوع ساده به نظر می‌رسد: کاربران بی‌دقت‌اند، مهاجمان خلاق‌اند. اما واقعیت پیچیده‌تر است. در بسیاری از موارد، شرکت‌ها و سازمان‌ها به‌ویژه در صنایع حساس مثل پرداخت ناخواسته بخشی از زنجیره موفقیت فیشینگ را شکل می‌دهند. استفاده از ساختارهای ناایمن مثل Open Redirect، پارامترهای تغییرپذیر در URL، بارگذاری iFrame از منابع ثالث و طراحی‌هایی که امکان سوءاستفاده را فراهم می‌کنند، به مهاجمان کمک می‌کند تا حملات خود را با سهولت بیشتری به سرانجام برسانند. از سوی دیگر، چون این آسیب‌پذیری‌ها لزوماً به نشت اطلاعات یا نفوذ مستقیم منجر نمی‌شوند، در تست‌های امنیتی یا بررسی‌های دوره‌ای جدی گرفته نمی‌شوند. اما تاثیر غیرمستقیم آنها بر موفقیت حملات مهندسی اجتماعی و فیشینگ، بسیار عمیق‌تر و نگران‌کننده‌تر از چیزی است که به‌ظاهر دیده می‌شود. زیرساخت‌هایی که مسیر حمله را هموار می‌کنند بسیاری از حملات فیشینگ موفق، نه به‌خاطر پیچیدگی فنی بالا، بلکه به سبب طراحی نادرست یا انعطاف بیش از حد در زیرساخت‌های شرکت‌ها به نتیجه می‌رسند. در ادامه، به چند مورد از رایج‌ترین اشتباهاتی می‌پردازیم که مهاجمان از آنها برای افزایش اعتبار حمله‌های خود استفاده می‌کنند. Open Redirect: در این آسیب‌پذیری، آدرس‌ اینترنتی یک دامنه معتبر (مثلاً سایت اصلی یک شرکت پرداختی) حاوی پارامتری است که کاربر را به آدرسی دیگر هدایت می‌کند. اگر این پارامتر بدون کنترل به آدرس مقصد متصل شود، مهاجم می‌تواند از آن برای ساخت لینک‌های جعلی ولی ظاهراً معتبر استفاده کند. مثال: https://company.com/redirect?url=http://phishing.site کاربر با دیدن نام دامنه اصلی در ابتدای لینک، احساس امنیت می‌کند، اما در واقع به یک سایت مخرب هدایت می‌شود. متاسفانه بیشتر کاربران در بهترین حالت به بررسی متن ابتدای لینک بسنده و از خواندن...