حملات واژه‌های شبیه هم (Homograph)

////حملات واژه‌های شبیه هم (Homograph)

حملات واژه‌های شبیه هم (Homograph)

از ویکی‌پدیا، دانشنامهٔ آزاد: هم‌نگاره یا هوموگراف (Homograph ) واژه‌هایی است که شبیه هم نوشته می‌شوند، اما تلفظ و معنی آن‌ها متفاوت است.

مجرمین سایبری و هکرها هرروز سعی دارند روش‌های جدیدی برای جلوگیری از شناسایی توسط آنتی‌ویروس‌ها کشف و استفاده کنند و سعی دارند که روش‌های خود را برای “گول زدن کاربر و دور زدن روش‌های اصلی که در “آموزش‌های امنیتی IT استاندارد”” را بهبود دهند. علیرغم این مسائل ما می‌توانیم  قدم‌هایی برای بهبود امنیت وسایل خود را برداریم و تاکتیک‌های مخرب مجرمین سایبری را شناسایی کنیم.

در مرحله اول، آن‌ها ” روش‌های کلاه‌برداری‌های فیشینگ (phishing scams) با استفاده از تصاویر قانع‌کننده یا واردکردن iframe ها (صفحاتی که محتوای آن‌ها از صفحات اصلی در اینترنت استخراج‌شده است)” را به‌صورت مؤثر اجرا می‌کنند. ترجمه مطالب آن‌ها در ایمیل‌ها نیز به دلیل وجود مترجم‌ها و فرهنگ‌های لغت آنلاین بهبودیافته است.

همچنین امروزه نمی‌توان فقط با نگاه کردن به آدرس فرستنده ایمیل یا SMS از شناسه واقعی آن‌ها، به دلیل روش‌های Spoofing، مطمئن شد. با استفاده از داده‌های غلط در یک پیام، یک حمله‌کننده یا هکر می‌تواند خود را به‌عنوان یک کاربر و یا شخص دیگر  معرفی کند.

همچنین لازم است که کاربر توجه خاص به لینک‌ها در ایمیل‌ها داشته باشد. مجرمین می‌توانند “لینک‌های قلابی” در “ایمیل‌های کلاه‌برداری” را به سایت‌های قلابی ( آدرس‌های کوتاه شده و فشرده) هدایت کنند و درنتیجه در مرحله اول هدف آن‌ها مشخص نمی‌گردد. همچنین می‌توان توصیه کرد که کاربر صفحه را چک کند و اطمینان حاصل کند که امن است (از پروتکل HTTPS استفاده می‌کند و دارای security certificate است.)

مجرمین سایبری و سایت‌های امن

بیشتر سایت‌های قلابی از پروتکل HTTP استفاده می‌کنند، اما سایت‌های واقعی (مانند شبکه‌های اجتماعی، پرتال‌های بانکی و غیره) از طریق پروتکل HTTPS درخواست احراز هویت می‌کنند، اما این بدان معنا نیست که حمله‌کنندگان نتوانند همین کار را بکنند. آن‌ها به‌آسانی می‌توانند سایت خود را به HTTPS تبدیل کنند و بدون پرداخت هزینه یک گواهی معتبر SSL/TLS برای آن تهیه کنند.

برای ایجاد یک سایت “قلابی قانع‌کننده”، مجرمین باید بتوانند سایتی را با بیشترین تشابه به سایت واقعی ایجاد کنند و سپس یک گواهی امنیتی (SSL/TLS certificate) برای این دومین جدید دریافت کنند. آن‌ها می‌توانند به دنبال دومین‌های باشند که مشابه به سایت واقعی است (برای مثال twiitter.com بسیار مشابه به twitter.com است یا rnercadolibre.com به سایت اصلی mercadolibre.com شباهت زیادی دارد.). در زمان تشابه زیاد آدرس “سایت قلابی” به “سایت واقعی”، مردم دقت کمتری در خواندن آن می‌کنند و چشم می‌تواند آن‌ها را فریب دهد یا از روی آدرس خیلی سریع عبور کند. درواقع مجرم سایبری باید بتواند سایتی را ثبت کند که آدرس آن متفاوت است، اما کاربر گمان می کند که این همان سایت است. به این روش حملات homograph میگویند.

در مثال زیر آیا می‌توانید تشخیص دهید که سایت  واقعی یا قلابی است؟

 

 

این‌ امر در تحقیقاتی برای اثبات مفهوم (proof of concept) که توسط Xudong Zheng  انجام شد نشان داده شد. او دومین https://www.xn--80ak6aa92e.com/ را ثبت نمود و به لینک https://www.apple.com از طریق مرورگر Firefox وارد شد. این کار را می‌توان با استفاده از کاراکترهایUnicode  از سیستم‌های غیر لاتین مثل Cyrillic یا Greek انجام داد. در این حروف (alphabets) ما می‌توانیم کاراکترهایی پیدا کنیم که مشابه و یا حتی همسان با حروف لاتین در URL ها هستند.
با استفاده از Punycode (یک coding syntax) می‌توان کاراکترهای غیر Unicode را به‌صورت Unicode ثبت نمود. برای مثال می‌توان یک اسم دومین مانند xn--pple-43d.com ثبت کرد که در مرورگر به‌عنوان apple.com تلقی می‌گردد، ولی درواقع با کاراکترهای Cyrillic “а” (U+0430)  (به‌جای(U+0041) ASCII “a”) نوشته می‌شود. وقتی‌که ما به آن نگاه می‌کنیم همه‌چیز عادی است اما برای مرورگرها و گواهی‌های امنیتی این دو کاراکتر متفاوت هستند و دو دومین مختلف می‌باشند. دو مثال از این نوع به شرح زیر است.

  • tωitter.com در حالت Punycode می‌شود xn--titter-i2e.com
  • gmạil.com در حالت Punycode می‌شود xn--gmil-6q5a.com

شما حتی می‌توانید از یک  تبدیل‌کننده Punycode  به Unicode استفاده کنید.

بسیاری از مرورگرهای فعلی دارای سیستم‌های جلوگیری از این نوع حملات هستند. برای مثال در مرورگرهای Chrome و Firefox، اگر یک دومین دارای کاراکتر از یک سیستم نوشتاری متفاوت باشد، به‌جای فرم Unicode مرورگر فرم Punycode مربوط را نشان می‌دهد. درنتیجه به‌جای (apple.com- Unicode form) ما در مرورگر (xn--pple-43d.com- Punycode form) را می‌بینیم. Xudong Zheng در اثبات مفهوم توانست که از سیستم محافظتی مرورگرها بگذرد و دومین apple.com را با کاراکترهای حروف (Cyrillic xn--80ak6aa92e.com) ثبت کند. او توانست گواهی TLS را از آمازون برای دومین خود دریافت کرد.

تصویر 2: دومین apple.com با کاراکترهای حروف (Cyrillic xn--80ak6aa92e.com) ثبت‌شده در آمازون

با رفتن به بخش مشخصات خواهیم دید که این اطلاعات در واقع متعلق به سایت xn--80ak6aa92e.com می‌باشد.

درحالی‌که این آسیب‌پذیری در آخرین نسخه‌های مرورگرهای Chrome و  Internet Explorer اصلاح‌شده است، مرورگرهای دیگر این مشکل را دارند. سایت gmạil.com  (در مثال قبلی) نیز می‌تواند که از لایه محافظتی Chrome عبور کند، چون فقط از کاراکترهای لاتین استفاده می‌کند، اما دارای یک کاراکتر خاص “ạ” است که در مرورگر نشان داده می‌شود.

 

محافظت باید افزایش یابد

هر وقت که ما مورد جدیدی از فیشینگ (phishing) داشته باشیم یا یک صفحه قلابی (برای گول زدن کاربر) را پیدا کنیم، موارد زیر توصیه می‌گردد.

  • ارسال‌کننده پیام را چک کنید.
  • به صفحه‌ای که در لینک هدایت می‌بینید دقت کنید.
  • اطمینان حاصل کنید لینک درست نوشته‌ شده است.
  • اطمینان حاصل کنید که امن است و دارای گواهی امنیتی می باشد.

 

اما پیش‌گیری‌ها و محافظت‌های بالا کافی نیست، چون مجرمین سایبری از روش‌های پیچیده‌تری برای گول زدن کاربران استفاده می‌کنند. استفاده از HTTPS و گواهی امنیتی ملاحظه خاصی برای مجرمین سایبری نمی‌باشد و مجرمین به دنبال سرقت داده‌های شما (با یا بدون رمزنگاری) هستند. تمامی تکنیک‌های استفاده‌شده توسط مجرمین برای ایجاد یک حس امنیت مصنوعی در کاربر است تا او داده‌های خود را در سایت‌های به‌اصطلاح امن وارد کند. به همین دلیل کاربران بهتر است موارد زیر را رعایت کنند.

  • به ایمیل‌ها، سایت‌ها، گواهی‌های امنیتی دقت کنید.
  • از دسترسی به سایت‌ها از داخل ایمیل‌های ارسالی اجتناب کنید.
  • سعی کنید URL سایت‌ها را در مرورگر تایپ کنید و از لینک مستقیم وارد آن نشوید.
  • با استفاده از احراز هویت دوفاکتوری (two-factor authentication) استفاده کنید تا یک‌لایه امنیتی دیگر به‌حساب کاربری شما اضافه شود.

ثبت ديدگاه