نگاهی به نقش زیرساخت‌ها و مسئولیت فراموش‌شده شرکت‌ها؛ چرا هنوز مردم فریب می‌خورند؟

با وجود سال‌ها اطلاع‌رسانی عمومی، هشدارهای امنیتی، آموزش‌های پیاپی و حتی تجربه‌های تلخ، همچنان کاربران زیادی قربانی حملات فیشینگ می‌شوند. پیام‌ها کماکان کلیک می‌خورند، لینک‌های جعلی باز می‌شوند و اطلاعات حساس در اختیار مهاجمان قرار می‌گیرد. در نگاه اول، این موضوع ساده به نظر می‌رسد: کاربران بی‌دقت‌اند، مهاجمان خلاق‌اند. اما واقعیت پیچیده‌تر است. در بسیاری از موارد، شرکت‌ها و سازمان‌ها به‌ویژه در صنایع حساس مثل پرداخت ناخواسته بخشی از زنجیره موفقیت فیشینگ را شکل می‌دهند. از سوی دیگر، چون این آسیب‌پذیری‌ها لزوماً به نشت اطلاعات یا نفوذ مستقیم منجر نمی‌شوند، در تست‌های امنیتی یا بررسی‌های دوره‌ای جدی گرفته نمی‌شوند. اما تاثیر غیرمستقیم آنها بر موفقیت حملات مهندسی اجتماعی و فیشینگ، بسیار عمیق‌تر و نگران‌کننده‌تر از چیزی است که به‌ظاهر دیده می‌شود. زیرساخت‌هایی که مسیر حمله را هموار می‌کنند بسیاری از حملات فیشینگ موفق، نه به‌خاطر پیچیدگی فنی بالا، بلکه به سبب طراحی نادرست یا انعطاف بیش از حد در زیرساخت‌های شرکت‌ها به نتیجه می‌رسند. در ادامه، به چند مورد از رایج‌ترین اشتباهاتی می‌پردازیم که مهاجمان از آنها برای افزایش اعتبار حمله‌های خود استفاده می‌کنند. Open Redirect: در این آسیب‌پذیری، آدرس‌ اینترنتی یک دامنه معتبر (مثلاً سایت اصلی یک شرکت پرداختی) حاوی پارامتری است که کاربر را به آدرسی دیگر هدایت می‌کند. اگر این پارامتر بدون کنترل به آدرس مقصد متصل شود، مهاجم می‌تواند از آن برای ساخت لینک‌های جعلی ولی ظاهراً معتبر استفاده کند. iFrame از منابع غیرایمن یا خارجی: در برخی از طراحی‌ها، به‌ منظور ساده‌سازی تجربه کاربر، iframeهایی از منابع ثالث در صفحات اصلی لود می‌شود. اگر این منابع به‌درستی اعتبارسنجی یا کنترل نشوند، مهاجم می‌تواند از آنها برای بارگذاری محتوای فریبنده استفاده کند، یا حتی با جایگذاری iframe پرداخت، اطلاعات حساس کاربر را به سرقت ببرد. پارامترهای کنترل‌پذیر در URL: استفاده نادرست از پارامترهایی مثل returnUrl یا nextPage بدون اعتبارسنجی، ممکن است باعث شود که کاربر پس...