با وجود سالها اطلاعرسانی عمومی، هشدارهای امنیتی، آموزشهای پیاپی و حتی تجربههای تلخ، همچنان کاربران زیادی قربانی حملات فیشینگ میشوند. پیامها کماکان کلیک میخورند، لینکهای جعلی باز میشوند و اطلاعات حساس در اختیار مهاجمان قرار میگیرد. در نگاه اول، این موضوع ساده به نظر میرسد: کاربران بیدقتاند، مهاجمان خلاقاند. اما واقعیت پیچیدهتر است. در بسیاری از موارد، شرکتها و سازمانها بهویژه در صنایع حساس مثل پرداخت ناخواسته بخشی از زنجیره موفقیت فیشینگ را شکل میدهند. از سوی دیگر، چون این آسیبپذیریها لزوماً به نشت اطلاعات یا نفوذ مستقیم منجر نمیشوند، در تستهای امنیتی یا بررسیهای دورهای جدی گرفته نمیشوند. اما تاثیر غیرمستقیم آنها بر موفقیت حملات مهندسی اجتماعی و فیشینگ، بسیار عمیقتر و نگرانکنندهتر از چیزی است که بهظاهر دیده میشود. زیرساختهایی که مسیر حمله را هموار میکنند بسیاری از حملات فیشینگ موفق، نه بهخاطر پیچیدگی فنی بالا، بلکه به سبب طراحی نادرست یا انعطاف بیش از حد در زیرساختهای شرکتها به نتیجه میرسند. در ادامه، به چند مورد از رایجترین اشتباهاتی میپردازیم که مهاجمان از آنها برای افزایش اعتبار حملههای خود استفاده میکنند. Open Redirect: در این آسیبپذیری، آدرس اینترنتی یک دامنه معتبر (مثلاً سایت اصلی یک شرکت پرداختی) حاوی پارامتری است که کاربر را به آدرسی دیگر هدایت میکند. اگر این پارامتر بدون کنترل به آدرس مقصد متصل شود، مهاجم میتواند از آن برای ساخت لینکهای جعلی ولی ظاهراً معتبر استفاده کند. iFrame از منابع غیرایمن یا خارجی: در برخی از طراحیها، به منظور سادهسازی تجربه کاربر، iframeهایی از منابع ثالث در صفحات اصلی لود میشود. اگر این منابع بهدرستی اعتبارسنجی یا کنترل نشوند، مهاجم میتواند از آنها برای بارگذاری محتوای فریبنده استفاده کند، یا حتی با جایگذاری iframe پرداخت، اطلاعات حساس کاربر را به سرقت ببرد. پارامترهای کنترلپذیر در URL: استفاده نادرست از پارامترهایی مثل returnUrl یا nextPage بدون اعتبارسنجی، ممکن است باعث شود که کاربر پس...