skip to Main Content
محتوای اختصاصی کاربران ویژهورود به سایت

فراموشی رمز عبور

با شبکه های اجتماعی وارد شوید

عضو نیستید؟ عضو شوید

ثبت نام سایت

با شبکه های اجتماعی وارد شوید

عضو نیستید؟ وارد شوید

فراموشی رمز عبور

وارد شوید یا عضو شوید

جشنواره نوروزی آنر

ذره‌بین

مهتاب دهقان کارشناس امنیت

مهتاب دهقان کارشناس امنیت

نگاهی به نقش زیرساخت‌ها و مسئولیت فراموش‌شده شرکت‌ها؛ چرا مردم هنوز فریب فیشینگ را می‌خورند؟

مهتاب دهقان کارشناس امنیت
مهتاب دهقان
کارشناس امنیت

۳ تیر ۱۴۰۴

زمان مطالعه : ۶ دقیقه

شماره ۱۳۵

با وجود سال‌ها اطلاع‌رسانی عمومی، هشدارهای امنیتی، آموزش‌های پیاپی و حتی تجربه‌های تلخ، همچنان کاربران زیادی قربانی حملات فیشینگ می‌شوند. پیام‌ها کماکان کلیک می‌خورند، لینک‌های جعلی باز می‌شوند و اطلاعات حساس در اختیار مهاجمان قرار می‌گیرد. در نگاه اول، این موضوع ساده به نظر می‌رسد: کاربران بی‌دقت‌اند، مهاجمان خلاق‌اند. اما واقعیت پیچیده‌تر است. در بسیاری از موارد، شرکت‌ها و سازمان‌ها به‌ویژه در صنایع حساس مثل پرداخت ناخواسته بخشی از زنجیره موفقیت فیشینگ را شکل می‌دهند. استفاده از ساختارهای ناایمن مثل Open Redirect، پارامترهای تغییرپذیر در URL، بارگذاری iFrame از منابع ثالث و طراحی‌هایی که امکان سوءاستفاده را فراهم می‌کنند، به مهاجمان کمک می‌کند تا حملات خود را با سهولت بیشتری به سرانجام برسانند. از سوی دیگر، چون این آسیب‌پذیری‌ها لزوماً به نشت اطلاعات یا نفوذ مستقیم منجر نمی‌شوند، در تست‌های امنیتی یا بررسی‌های دوره‌ای جدی گرفته نمی‌شوند. اما تاثیر غیرمستقیم آنها بر موفقیت حملات مهندسی اجتماعی و فیشینگ، بسیار عمیق‌تر و نگران‌کننده‌تر از چیزی است که به‌ظاهر دیده می‌شود. زیرساخت‌هایی که مسیر حمله را هموار می‌کنند بسیاری از حملات فیشینگ موفق، نه به‌خاطر پیچیدگی فنی بالا، بلکه به سبب طراحی نادرست یا انعطاف بیش از حد در زیرساخت‌های شرکت‌ها به نتیجه می‌رسند. در ادامه، به چند مورد از رایج‌ترین اشتباهاتی می‌پردازیم که مهاجمان از آنها برای افزایش اعتبار حمله‌های خود استفاده می‌کنند. Open Redirect: در این آسیب‌پذیری، آدرس‌ اینترنتی یک دامنه معتبر (مثلاً سایت اصلی یک شرکت پرداختی) حاوی پارامتری است که کاربر را به آدرسی دیگر هدایت می‌کند. اگر این پارامتر بدون کنترل به آدرس مقصد متصل شود، مهاجم می‌تواند از آن برای ساخت لینک‌های جعلی ولی ظاهراً معتبر استفاده کند. مثال: https://company.com/redirect?url=http://phishing.site کاربر با دیدن نام دامنه اصلی در ابتدای لینک، احساس امنیت می‌کند، اما در واقع به یک سایت مخرب هدایت می‌شود. متاسفانه بیشتر کاربران در بهترین حالت به بررسی متن ابتدای لینک بسنده و از خواندن...

شما وارد سایت نشده‌اید. برای خواندن ادامه مطلب و ۵ مطلب دیگر از ماهنامه پیوست به صورت رایگان باید عضو سایت شوید.

وارد شوید

عضو نیستید؟ عضو شوید

این مطلب در شماره ۱۳۵ پیوست منتشر شده است.

ماهنامه ۱۳۵ پیوست
دانلود نسخه PDF
https://pvst.ir/ljd

0 نظر

ارسال دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*

برای بوکمارک این نوشته
Back To Top
جستجو