skip to Main Content
محتوای اختصاصی کاربران ویژهورود به سایت

فراموشی رمز عبور

با شبکه های اجتماعی وارد شوید

عضو نیستید؟ عضو شوید

ثبت نام سایت

با شبکه های اجتماعی وارد شوید

عضو نیستید؟ وارد شوید

فراموشی رمز عبور

وارد شوید یا عضو شوید

جشنواره نوروزی آنر

ذره‌بین

مهتاب دهقان کارشناس امنیت

مهتاب دهقان کارشناس امنیت

نگاهی به نقش زیرساخت‌ها و مسئولیت فراموش‌شده شرکت‌ها؛ چرا هنوز مردم فریب می‌خورند؟

مهتاب دهقان کارشناس امنیت
مهتاب دهقان
کارشناس امنیت

۳ تیر ۱۴۰۴

زمان مطالعه : ۵ دقیقه

شماره ۱۳۵

با وجود سال‌ها اطلاع‌رسانی عمومی، هشدارهای امنیتی، آموزش‌های پیاپی و حتی تجربه‌های تلخ، همچنان کاربران زیادی قربانی حملات فیشینگ می‌شوند. پیام‌ها کماکان کلیک می‌خورند، لینک‌های جعلی باز می‌شوند و اطلاعات حساس در اختیار مهاجمان قرار می‌گیرد. در نگاه اول، این موضوع ساده به نظر می‌رسد: کاربران بی‌دقت‌اند، مهاجمان خلاق‌اند. اما واقعیت پیچیده‌تر است. در بسیاری از موارد، شرکت‌ها و سازمان‌ها به‌ویژه در صنایع حساس مثل پرداخت ناخواسته بخشی از زنجیره موفقیت فیشینگ را شکل می‌دهند. از سوی دیگر، چون این آسیب‌پذیری‌ها لزوماً به نشت اطلاعات یا نفوذ مستقیم منجر نمی‌شوند، در تست‌های امنیتی یا بررسی‌های دوره‌ای جدی گرفته نمی‌شوند. اما تاثیر غیرمستقیم آنها بر موفقیت حملات مهندسی اجتماعی و فیشینگ، بسیار عمیق‌تر و نگران‌کننده‌تر از چیزی است که به‌ظاهر دیده می‌شود. زیرساخت‌هایی که مسیر حمله را هموار می‌کنند بسیاری از حملات فیشینگ موفق، نه به‌خاطر پیچیدگی فنی بالا، بلکه به سبب طراحی نادرست یا انعطاف بیش از حد در زیرساخت‌های شرکت‌ها به نتیجه می‌رسند. در ادامه، به چند مورد از رایج‌ترین اشتباهاتی می‌پردازیم که مهاجمان از آنها برای افزایش اعتبار حمله‌های خود استفاده می‌کنند. Open Redirect: در این آسیب‌پذیری، آدرس‌ اینترنتی یک دامنه معتبر (مثلاً سایت اصلی یک شرکت پرداختی) حاوی پارامتری است که کاربر را به آدرسی دیگر هدایت می‌کند. اگر این پارامتر بدون کنترل به آدرس مقصد متصل شود، مهاجم می‌تواند از آن برای ساخت لینک‌های جعلی ولی ظاهراً معتبر استفاده کند. iFrame از منابع غیرایمن یا خارجی: در برخی از طراحی‌ها، به‌ منظور ساده‌سازی تجربه کاربر، iframeهایی از منابع ثالث در صفحات اصلی لود می‌شود. اگر این منابع به‌درستی اعتبارسنجی یا کنترل نشوند، مهاجم می‌تواند از آنها برای بارگذاری محتوای فریبنده استفاده کند، یا حتی با جایگذاری iframe پرداخت، اطلاعات حساس کاربر را به سرقت ببرد. پارامترهای کنترل‌پذیر در URL: استفاده نادرست از پارامترهایی مثل returnUrl یا nextPage بدون اعتبارسنجی، ممکن است باعث شود که کاربر پس...

شما وارد سایت نشده‌اید. برای خواندن ادامه مطلب و ۵ مطلب دیگر از ماهنامه پیوست به صورت رایگان باید عضو سایت شوید.

وارد شوید

عضو نیستید؟ عضو شوید

این مطلب در شماره ۱۳۵ پیوست منتشر شده است.

ماهنامه ۱۳۵ پیوست
دانلود نسخه PDF
https://pvst.ir/ljd

0 نظر

ارسال دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*

برای بوکمارک این نوشته
Back To Top
جستجو