کشف حمله فیشینگ غیرقابل شناسایی

یک حمله‌ فیشینگ شناسایی شد که بر روی مرورگرهای کروم، فایرفاکس و اپرا قابل تشخیص نیست.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، یک محقق امنیتی چینی حمله‌ قیشینگی کاملاً غیرقابل شناسایی را کشف کرد که می‌تواند حتی کاربران بسیار محتاط را نیز در سطح اینترنت هدف قرار دهد. این محقق هشدار داد مهاجمان می‌توانند از آسیب‌پذیری‌های شناخته‌شده بر روی مرورگرهای کروم، فایرفاکس و اپرا استفاده کنند و صفحات جعلی خود را به‌عنوان وب‌سایت قانونی نمایش داده و گواهی‌نامه‌های ورود و داده‌های حساس کاربران را به سرقت ببرند.

تا جایی که می‌دانیم بهترین راه برای جلوگیری از حملات فیشینگ این است که پس از بارگذاری کامل وب‌سایت، نوار آدرس را بررسی کنند و از صحت آدرس مطمئن شویم و حتماً وب‌سایت از HTTPS پشتیبانی کند. ولی این همه‌ ماجرا نیست. این محقق اعلام کرد ممکن است تمامی این پیش‌شرط‌ها مهیا باشد ولی محتوای وب‌سایت توسط مهاجم جعل شود. در این شرایط گفته می‌شود وب‌سایت در برابر حملات هم‌نگاره آسیب‌پذیر است.

حملات هم‌نگاره تقریباً از سال ۲۰۰۱ میلادی شناسایی شده‌اند، ولی شرکت‌های تولیدکننده‌ مرورگر برای برطرف کردن آن تلاشی نکرده‌اند. این حمله نیز نوعی تهدید جعل آدرس است، ولی آدرس هدف، قانونی به نظر می‌رسد درحالی‌که نیست و نویسه‌های آن با نویسه‌های یونیکد جایگزین شده‌است.

به‌طور پیش‌فرض بسیاری از مرورگرها از یونیکد Punycode برای نمایش نویسه‌های یونیکد در آدرس‌های URL استفاده‌می‌کنند تا از حملات هم‌نگاره جلوگیری شود. در این یونیکد، نویسه‌های یونیکد به حداقل نویسه‌های زبان لاتین تبدیل‌می‌شود. محقق امنیتی می‌گوید این آسیب‌پذیری از آنجا ناشی‌می‌شود که یونیکد Punycode تنها می‌تواند تبدیل از یک زبان به نویسه‌های لاتین را پشتیبانی‌کند و اگر آدرس URL از نویسه‌های چندین زبان تشکیل شده‌باشد، این آسیب‌پذیری وجود خواهد داشت.

به‌طور مثال این آسیب‌پذیری به این محقق امنیتی اجازه داده دامنه‌ای با آدرس xn--۸۰ak۶aa۹۲e.com ثبت کرده و راهکارهای حفاظتی را دور بزند که باعث‌می‌شود در مرورگرهای آسیب‌پذیر کروم، فایرفاکس و اپرا آدرس به شکل apple.com نمایش داده‌شود. هرچند مرورگرهایی مانند اینترنت اکسپلورر، اج مایکروسافت، سافاری اپل، Brave و Vivaldi آسیب‌پذیر نیستند.

این محقق امنیتی این آسیب‌پذیری را در ماه ژانویه به شرکت‌های اپل و گوگل گزارش کرده‌است. موزیلا همچنان برای ارائه‌ راه‌حل تلاش می‌کند. شرکت گوگل نیز وصله‌ای برای نسخه‌ آزمایشی کروم ارائه کرد، ولی وصله‌ کامل در به‌روزرسانی کروم ۵۸ آخر همین ماه منتشر خواهدشد. با این حال میلیون‌ها کاربر در سراسر اینترنت در معرض این حملات فیشینگ غیرقابل شناسایی قرار دارند و به آنها توصیه شده تا پشتیبانی از Punycode را بر روی مرورگرهای خود غیرفعال کنند تا خطرات این حمله‌ی فیشینگ کاهش یابد.

کاربران فایرفاکس برای کاهش خطرات این حمله می‌توانند راه‌حل زیر را دنبال کنند:
• در نوار آدرس about:config را وارد کرده و اینتر بزنید.
• در نوار جست‌وجو عبارت Punycode را وارد کنید.
• در تنظیمات مرورگر پارامترهایی با عناوین network.IDN_show_punycode ،double-click و right-click نمایش داده می‌شود که مقادیر آنها را از نادرست به مقدار درست تغییر دهید.

متأسفانه برای مرورگرهای کروم و اپرا چنین تنظیمات دستی برای غیرفعال کردن Punycode وجود ندارد و کاربران کروم باید تا آخر ماه برای انتشار کروم ۵۸ صبر کنند.