فعلا از جیمیل استفاده نکنید؛ استفاده از جیمیل خطرناک شد
تصمیم به استفاده از روشهای احراز هویت چندگانه را همین الان عملی کنید.هکرها با استفاده از حملات جدید فیشینگ موفق به اضافه کردن اسکریپتهایی آلوده به آدرس سرویس جیمیل شدهاند.
گویا آی تی – تصور کنید یک روز صبح بعد از بیدار شدن از خواب متوجه میشوید که آدرس ایمیل و رمز عبورتان روی یک بیلبورد تبلیغاتی بزرگ در یکی از بزرگراههای اصلی شهر نصب شده باشد. بعید به نظر میرسد اما عجله نکنید، شاید این اتفاق آن قدرها هم که فکر میکنید دور از ذهن نباشد.
رخ دادن چنین اتفاقی برای بعضیها به منزلهی مرگ قطعی است! هر کسی قادر به بررسی تمام ایمیلهایشان خواهد بود، اطلاعات شناساییشان به سرقت خواهد رفت، رمزعبورهایشان در دیگر وبسایتها تغییر خواهد کرد و خلاصه سناریوهای وحشتناک دیگری پیش خواهد آمد.
اما در مقابل چنین اتفاقی برای بعضی دیگر هیچ دردسری ایجاد نخواهد کرد. آنها رمزعبور جدیدی انتخاب خواهند کرد و به انجام کارهای روزمرهشان مشغول خواهند شد. هیچ کس وارد حساب کاربری آنها نخواهد شد، تمام اطلاعاتشان در امنیت کامل خواهند بود و انگار نه انگار که اتفاقی افتاده باشد.
تفاوت این دو سناریو در چیست؟ چرا بعضی از مردم در زمان افشا شدن آدرس ایمیل و رمزعبورشان زندگی خود را خواهند باخت و چرا بعضی دیگر به راحتی از کنار این مساله میگذرند؟
احراز هویت چند گانه. این عبارت چند واژهای را دست کم نگیرید. این تکنیک یک استراتژی دفاعی فوقالعاده قدرتمند است. اما در احراز هویت چند گانه چه اتفاقی میافتد: ورود به سرویسها علاوه بر چیزی که آن را به خاطر سپردهاید (آدرس ایمیل و رمزعبور)، نیازمند چیزی خواهد بود که آن را در اختیار دارید، یا چیزی که هستید. معمولا یک رمز احراز هویت که توسط تلفنهمراهتان تولید میشود یا اثر انگشت شما.
زمانی که از احراز هویت چند گانه استفاده میکنید، به چیزی فراتر از نام کاربری و رمزعبور برای استفاده از خدمات سرویسها نیازمندید.
اینها را به خاطر داشته باشید تا در ادامه شما را با شیوهی جدیدی که هکرها برای سرقت اطلاعات احراز هویت کشف کردهاند آشنا کنیم. این افراد شرور برای فریب مردم از نام کاربری و رمزعبور خود کاربر استفاده میکنند. و در بسیاری از موارد در عملی کردن نیات خود موفق هم میشوند. تکنیک آنها بسیار دقیق و ماهرانه طراحی شده است و از این رو حتی باهوشترین کاربران هم ممکن است فریب بخورند.
سرقت بزرگ
مارک مائوندر، از طراحان پلاگین امنیتی Wordfence برای وردپرس به طور مفصل درباره این روش خاص هک صحبت کرده است. او در ابتدا توسط تیم رافلز که در وبسایت گیتهاب به این مساله اشاره کرده بود از این مساله مطلع میشود.
این روش مشخصا برای هک جیمیل طراحی شده است. پروسه با دریافت ایمیل از طرف یکی از دوستان که قبلا هک شده و حال حساب وی بخشی از زنجیرهی قربانیها شده آغاز میشود. چنین ایمیلی کاملا بیخطر به نظر میرسد و حتی دارای ضمیمهای است که ارسال آن از طرف فرستنده کاملا عادی به نظر میرسد.
برای مثال، در انتهای شاید یک فایل Word ضمیمه شود که که قبلا آن را برای بررسی برای همکارتان ارسال کردهاید. شاید فایل PDFای ضمیمه شود که بحث و گفتگوهایی در مورد آن با یکی از دوستان داشتهاید. شاید هم یک تصویر زیبا ضمیمه شود.
مساله این است که ضمیمه شدن فایل به آن ایمیل کاملا عادی به نظر میرسد. علت این امر هم این است که هکرها حساب ایمیل فرستنده را کاملا زیر و رو کردهاند، پیامی کاملا مرتبط برای گیرنده نوشته، و در این مورد که چسباندن چه ضمیمهای همه چیز را عادی جلوه خواهد داد، به خوبی فکر کردهاند؛ مهندسی اجتماعی در سطحی کاملا پیشرفته.
کلیک روی ضمیمهی مذکور سبب باز شدن یک صفحه ورود (Sig-in) گوگل خواهد شد، چون ظاهرا قبل از مشاهدهی ضمیمه نیازمند ثابت کردن هویت خودتان هستید.
حتما چنین کاری را قبلا انجام دادهاید و از این رو شیوهی مذکور بسیار زیرکانه طراحی شده است. گاهی اوقات برای مشاهدهی فایلی از یک پروژهی مشترک روی سرویس گوگل درایو قرار گرفته (یا هر فایل دیگری که از طریق این سرویس به اشتراک گذاشته میشود) مجبور به ورود به حساب کاربری هستیم و هکرها دقیقا این قسمت از پروسه را در نظر گرفته و کاربران را فریب میدهند. اما چگونه؟
قربانی به صفحهای هدایت میشود که کاملا شبیه به صفحه ورود به خدمات گوگل است. اما اگر حرفهای باشید نوار آدرس مرورگر را بررسی میکنید تا مطمئن شوید که URL قانونی است و متعلق به خود گوگل است. اما دقیقا همین جاست که به دام میافتید.
همان گونه که در تصویر زیر مشاهده میکنید در نوار آدرس مرورگر نشانی account.google.com تایپ شده است.
به عبارت “data:” که قبل از آدرس accounts.google.com قرار گرفته دقت کردید؟ وجود این رشته کد، لینک مورد نظر را تبدیل به یک الگوی دادهای یوآرآی (Data URI) میکند. الگوی دادهی یوآرآی شیوهای استاندارد برای درج محتویات یک فایل درون یک آدرس URL است. الگوی یوآرآی بخشی از استاندارد RFC 2397 تعریف شده توسط کارگروه مهندسی اینترنت در سال ۱۹۹۰ میلادی است.
بله، درست متوجه شدید. این عمل در حقیقت فریب شما نیست. در این روش از یک توانایی کاملا مجاز مرورگرها استفاده میکند که بهتر بود مدتها قبل غیرفعال میشد.
چرا کاربران گرفتار این تله میشوند؟
مائوندر در وبلاگ خود به طور مفصل در این باره که چرا مردم فریب این دام هکرها میشوند توضیح میدهد. اگر چه آدرس account.google.com در نوار آدرس مرورگر وجود دارد اما عبارت “data:text/html,” قابل مشاهده نیست؛ شاید در بعضی مواقع کاربران قادر به دیدن آن باشند.
وی ادعا میکند که چشمان ما به دیدن تصویر سبز رنگ پروتکل https عادت کردهاند.و همین طور علامت قرمز رنگ X که نشان دهنده ناامن بودن صفحهی مورد نظر است.
فرضیهی او بر این پایه استوار است که این فریب یک منطقه URL کاملا عادی ایجاد میکند که در آن خبری از رنگ سبز و قرمز نیست. به همین خاطر کاربران خیلی ساده از کنار آن عبور کرده و به انجام کارهای بعدی مشغول شده و هیچ دقتی نسبت به عبارتهای قرار گرفته قبل در آدرس صفحه اصلی که اطلاعات ورود را باید در آن درج کرد، نمیکنند.
فکر میکنم حق با اوست. ما بردهی عادتها هستیم و زمانی که صحبت از وبگردی میشود هم نمیتوان منکر عادتهای بد و خطرناکی شد که به سادگی از کنار آنها عبور میکنیم. روزانه میان صدها سایت میچرخیم و به ندرت پیش میآید وضعیت ایمنی تکتک آنها را بررسی کنیم. اگر چه ماهیچههای حافظهمان در زمینه تشخیص تغییر رنگها عملکرد خوبی دارند (سبز نشان امنیت و قرمز حاکی از وجود خطر) اما بدون وجود این نشانهها، به کارمان ادامه خواهیم داد و احتمالا اطلاعات را در صفحهای که هکرها برایمان تدارک دیدهاند، درج خواهیم کرد.
در این زمینه مائوندر در وبلاگ خود به دو بحث بسیار جالب اشاره میکند که توصیه میکنیم حتما آنها را مطالعه کنید؛ اینجا و اینجا.
سخن پایانی: برندهها از احراز هویت چند گانه استفاده میکنند
چه درس مهمی باید از این مطلب گرفت؟ خب، اول از همه این که فعلا پایانی برای وجود هکرها نمیتوان متصور شد. خوشبختانه افراد توانمند و خوبی مثل مائوندر و رافلز هم همواره سعی در محافظت از ما دارند.
اما سخن آخر این که شما باید، باید، باید از احراز هویت چندگانه استفاده کنید. میدانیم که دردسرش زیاد است. شخصا در طول روز گاهی اوقات مجبورم ۲۰ بار یا حتی بیشتر از آن استفاده کنم زیرا اکثر وبسایتهایی که با آنها سر و کار دارم از SAML پشتیبانی نمیکنند. اما کمترین مزیتی که احراز هویت چند گانه دارد حفظ شما از فریبهای این چنین هکرهاست. پس بهتر است تا جایی که در توانتان هست، مراقب باشید.