استفاده از جیمیل خطرناک شد

تصمیم به استفاده از روش‌های احراز هویت چندگانه را همین الان عملی کنید.هکر‌ها با استفاده از حملات جدید فیشینگ موفق به اضافه کردن اسکریپت‌هایی آلوده به آدرس سرویس جی‌میل شده‌اند.

به گزارش بادیجی به نقل از گویا آی تی ، تصور کنید یک روز صبح بعد از بیدار شدن از خواب متوجه می‌شوید که آدرس ایمیل‌ و رمز عبورتان روی یک بیلبورد تبلیغاتی بزرگ در یکی از بزرگراه‌های اصلی شهر نصب شده باشد. بعید به نظر می‌رسد اما عجله نکنید، شاید این اتفاق آن قدرها هم که فکر می‌کنید دور از ذهن نباشد.
رخ دادن چنین اتفاقی برای بعضی‌ها به منزله‌ی مرگ قطعی است! هر کسی قادر به بررسی تمام ایمیل‌هایشان خواهد بود، اطلاعات شناسایی‌شان به سرقت خواهد رفت، رمزعبورهایشان در دیگر وب‌سایت‌ها تغییر خواهد کرد و خلاصه سناریوهای وحشتناک دیگری پیش خواهد آمد.

اما در مقابل چنین اتفاقی برای بعضی دیگر هیچ دردسری ایجاد نخواهد کرد. آنها رمزعبور جدیدی انتخاب خواهند کرد و به انجام کارهای روزمره‌شان مشغول خواهند شد. هیچ کس وارد حساب کاربری آنها نخواهد شد، تمام اطلاعات‌شان در امنیت کامل خواهند بود و انگار نه انگار که اتفاقی افتاده باشد.
تفاوت این دو سناریو در چیست؟ چرا بعضی از مردم در زمان افشا شدن آدرس ایمیل و رمزعبورشان زندگی خود را خواهند باخت و چرا بعضی دیگر به راحتی از کنار این مساله می‌گذرند؟
احراز هویت چند گانه. این عبارت چند واژه‌ای را دست کم نگیرید. این تکنیک یک استراتژی دفاعی فوق‌العاده قدرتمند است. اما در احراز هویت چند گانه چه اتفاقی می‌افتد: ورود به سرویس‌ها علاوه بر چیزی که آن را به خاطر سپرده‌اید (آدرس ایمیل و رمزعبور)، نیازمند چیزی خواهد بود که آن را در اختیار دارید، یا چیزی که هستید. معمولا یک رمز احراز هویت که توسط تلفن‌همراه‌تان تولید می‌شود یا اثر انگشت‌ شما.
زمانی که از احراز هویت چند گانه استفاده می‌کنید، به چیزی فراتر از نام کاربری و رمزعبور برای استفاده از خدمات سرویس‌ها نیازمندید.
این‌ها را به خاطر داشته باشید تا در ادامه شما را با شیوه‌ی جدیدی که هکرها برای سرقت اطلاعات احراز هویت کشف کرده‌اند آشنا کنیم. این افراد شرور برای فریب مردم از نام کاربری و رمزعبور خود کاربر استفاده می‌کنند. و در بسیاری از موارد در عملی کردن نیات خود موفق هم می‌شوند. تکنیک آنها بسیار دقیق و ماهرانه طراحی شده است و از این رو حتی باهوش‌ترین کاربران هم ممکن است فریب بخورند.

سرقت بزرگ
مارک مائوندر، از طراحان پلاگین امنیتی Wordfence برای وردپرس به طور مفصل درباره این روش خاص هک صحبت کرده است. او در ابتدا توسط تیم رافلز که در وب‌سایت گیت‌هاب به این مساله اشاره کرده بود از این مساله مطلع می‌شود.
این روش مشخصا برای هک جی‌میل طراحی شده است. پروسه با دریافت ایمیل از طرف یکی از دوستان که قبلا هک شده و حال حساب وی بخشی از زنجیره‌ی قربانی‌ها شده آغاز می‌شود. چنین ایمیلی کاملا بی‌خطر به نظر می‌رسد و حتی دارای ضمیمه‌ای است که ارسال آن از طرف فرستنده کاملا عادی به نظر می‌رسد.
برای مثال، در انتهای شاید یک فایل Word ضمیمه شود که که قبلا آن را برای بررسی برای همکارتان ارسال کرده‌اید. شاید فایل PDFای ضمیمه شود که بحث و گفتگوهایی در مورد آن با یکی از دوستان داشته‌اید. شاید هم یک تصویر زیبا ضمیمه شود.
مساله این است که ضمیمه شدن فایل به آن ایمیل کاملا عادی به نظر می‌رسد. علت این امر هم این است که هکرها حساب ایمیل فرستنده را کاملا زیر و رو کرده‌اند، پیامی کاملا مرتبط برای گیرنده نوشته، و در این مورد که چسباندن چه ضمیمه‌ای همه چیز را عادی جلوه خواهد داد، به خوبی فکر کرده‌اند؛ مهندسی اجتماعی در سطحی کاملا پیشرفته.
کلیک روی ضمیمه‌ی مذکور سبب باز شدن یک صفحه ورود (Sig-in) گوگل خواهد شد، چون ظاهرا قبل از مشاهده‌ی ضمیمه نیازمند ثابت کردن هویت خودتان هستید.
حتما چنین کاری را قبلا انجام داده‌اید و از این رو شیوه‌ی مذکور بسیار زیرکانه طراحی شده است. گاهی اوقات برای مشاهده‌ی فایلی از یک پروژه‌ی مشترک روی سرویس گوگل درایو قرار گرفته (یا هر فایل دیگری که از طریق این سرویس به اشتراک گذاشته می‌شود) مجبور به ورود به حساب کاربری هستیم و هکرها دقیقا این قسمت از پروسه را در نظر گرفته و کاربران را فریب می‌دهند. اما چگونه؟

قربانی به صفحه‌ای هدایت می‌شود که کاملا شبیه به صفحه ورود به خدمات گوگل است. اما اگر حرفه‌ای باشید نوار آدرس مرورگر را بررسی می‌کنید تا مطمئن شوید که URL قانونی است و متعلق به خود گوگل است. اما دقیقا همین جاست که به دام می‌افتید.
همان گونه که در تصویر زیر مشاهده می‌کنید در نوار آدرس مرورگر نشانی account.google.com تایپ شده است.
به عبارت “data:” که قبل از آدرس accounts.google.com قرار گرفته دقت کردید؟ وجود این رشته کد، لینک مورد نظر را تبدیل به یک الگوی داده‌ای یوآرآی (Data URI) می‌کند. الگوی داده‌‌ی یوآرآی شیوه‌ای استاندارد برای درج محتویات یک فایل درون یک آدرس URL است. الگوی یوآرآی بخشی از استاندارد RFC 2397 تعریف شده توسط کارگروه مهندسی اینترنت در سال ۱۹۹۰ میلادی است.
بله، درست متوجه شدید. این عمل در حقیقت فریب شما نیست. در این روش از یک توانایی کاملا مجاز مرورگرها استفاده می‌کند که بهتر بود مدت‌ها قبل غیرفعال می‌شد.

چرا کاربران گرفتار این تله می‌شوند؟
مائوندر در وبلاگ خود به طور مفصل در این باره که چرا مردم فریب این دام هکرها می‌شوند توضیح می‌دهد. اگر چه آدرس account.google.com در نوار آدرس مرورگر وجود دارد اما عبارت “data:text/html,” قابل مشاهده نیست؛ شاید در بعضی مواقع کاربران قادر به دیدن آن باشند.

وی ادعا می‌کند که چشمان ما به دیدن تصویر سبز رنگ پروتکل https عادت کرده‌اند.و همین طور علامت قرمز رنگ X که نشان دهنده ناامن بودن صفحه‌ی مورد نظر است.
فرضیه‌ی او بر این پایه استوار است که این فریب یک منطقه URL کاملا عادی ایجاد می‌کند که در آن خبری از رنگ سبز و قرمز نیست. به همین خاطر کاربران خیلی ساده از کنار آن عبور کرده و به انجام کارهای بعدی مشغول شده و هیچ دقتی نسبت به عبارت‌های قرار گرفته قبل در آدرس صفحه اصلی که اطلاعات ورود را باید در آن درج کرد، نمی‌کنند.
فکر می‌کنم حق با اوست. ما برده‌ی عادت‌ها هستیم و زمانی که صحبت از وب‌گردی می‌شود هم نمی‌توان منکر عادت‌های بد و خطرناکی شد که به سادگی از کنار آنها عبور می‌کنیم. روزانه میان صدها سایت می‌چرخیم و به ندرت پیش می‌آید وضعیت ایمنی تک‌تک آنها را بررسی کنیم. اگر چه ماهیچه‌های حافظه‌مان در زمینه تشخیص تغییر رنگ‌ها عملکرد خوبی دارند (سبز نشان امنیت و قرمز حاکی از وجود خطر) اما بدون وجود این نشانه‌ها، به کارمان ادامه خواهیم داد و احتمالا اطلاعات را در صفحه‌‌ای که هکرها برایمان تدارک دیده‌اند، درج خواهیم کرد.
در این زمینه مائوندر در وبلاگ خود به دو بحث بسیار جالب اشاره می‌کند که توصیه می‌کنیم حتما آنها را مطالعه کنید؛ اینجا و اینجا.

سخن پایانی: برنده‌ها از احراز هویت چند گانه استفاده می‌کنند
چه درس مهمی باید از این مطلب گرفت؟ خب، اول از همه این که فعلا پایانی برای وجود هکرها نمی‌توان متصور شد. خوشبختانه افراد توانمند و خوبی مثل مائوندر و رافلز هم همواره سعی در محافظت از ما دارند.
اما سخن آخر این که شما باید، باید، باید از احراز هویت چندگانه استفاده کنید. می‌دانیم که دردسرش زیاد است. شخصا در طول روز گاهی اوقات مجبورم ۲۰ بار یا حتی بیشتر از آن استفاده کنم زیرا اکثر وب‌سایت‌هایی که با آنها سر و کار دارم از SAML پشتیبانی نمی‌کنند. اما کمترین مزیتی که احراز هویت چند گانه دارد حفظ شما از فریب‌های این چنین هکرهاست. پس بهتر است تا جایی که در توان‌تان هست، مراقب باشید.