با وجود سالها اطلاعرسانی عمومی، هشدارهای امنیتی، آموزشهای پیاپی و حتی تجربههای تلخ، همچنان کاربران زیادی قربانی حملات فیشینگ میشوند. پیامها کماکان کلیک میخورند، لینکهای جعلی باز میشوند و اطلاعات حساس در اختیار مهاجمان قرار میگیرد. در نگاه اول، این موضوع ساده به نظر میرسد: کاربران بیدقتاند، مهاجمان خلاقاند. اما واقعیت پیچیدهتر است. در بسیاری از موارد، شرکتها و سازمانها بهویژه در صنایع حساس مثل پرداخت ناخواسته بخشی از زنجیره موفقیت فیشینگ را شکل میدهند. استفاده از ساختارهای ناایمن مثل Open Redirect، پارامترهای تغییرپذیر در URL، بارگذاری iFrame از منابع ثالث و طراحیهایی که امکان سوءاستفاده را فراهم میکنند، به مهاجمان کمک میکند تا حملات خود را با سهولت بیشتری به سرانجام برسانند. از سوی دیگر، چون این آسیبپذیریها لزوماً به نشت اطلاعات یا نفوذ مستقیم منجر نمیشوند، در تستهای امنیتی یا بررسیهای دورهای جدی گرفته نمیشوند. اما تاثیر غیرمستقیم آنها بر موفقیت حملات مهندسی اجتماعی و فیشینگ، بسیار عمیقتر و نگرانکنندهتر از چیزی است که بهظاهر دیده میشود. زیرساختهایی که مسیر حمله را هموار میکنند بسیاری از حملات فیشینگ موفق، نه بهخاطر پیچیدگی فنی بالا، بلکه به سبب طراحی نادرست یا انعطاف بیش از حد در زیرساختهای شرکتها به نتیجه میرسند. در ادامه، به چند مورد از رایجترین اشتباهاتی میپردازیم که مهاجمان از آنها برای افزایش اعتبار حملههای خود استفاده میکنند. Open Redirect: در این آسیبپذیری، آدرس اینترنتی یک دامنه معتبر (مثلاً سایت اصلی یک شرکت پرداختی) حاوی پارامتری است که کاربر را به آدرسی دیگر هدایت میکند. اگر این پارامتر بدون کنترل به آدرس مقصد متصل شود، مهاجم میتواند از آن برای ساخت لینکهای جعلی ولی ظاهراً معتبر استفاده کند. مثال: https://company.com/redirect?url=http://phishing.site کاربر با دیدن نام دامنه اصلی در ابتدای لینک، احساس امنیت میکند، اما در واقع به یک سایت مخرب هدایت میشود. متاسفانه بیشتر کاربران در بهترین حالت به بررسی متن ابتدای لینک بسنده و از خواندن...