صفحات فیشینگی که از گواهی SSL رسمی بهره می‌برند

صفحات فیشینگی که از  گواهی SSL رسمی بهره می‌برند
تاریخ انتشار : ۱۷ مهر ۱۳۹۷

صفحات حملات فیشینگ در اکثر اوقات قربانیان را فریب می‌دهد، اما در صورتی که فرم ورود موجود در صفحه فیشینگ ناامن باشد یا از گواهی SSL نامرتبط استفاده شده باشد، برخی کاربران صفحه را ترک می‌کنند.

به گزارش گرداب، نوعی حمله فیشینگ شناسایی شده است که از Office ۳۶۵ بهره می‌برد و با استفاده از ترفند جالبی گواهی معتبر SSL مایکروسافت را نمایش می‌دهد. در این حمله، فرم ورود صفحه فیشینگ روی منبع ذخیره ساز Azure Blob Storage میزبانی می‌شود.

منبع ذخیره اطلاعات Azure Blob، یک منبع ذخیره مربوط به مایکروسافت است که برای ذخیره داده‌های بدون ساختار مانند تصاویر، ویدئوها یا متن مورد استفاده قرار می‌گیرد. یکی از مزیت‌های Azure Blob این است که دسترسی به آن از طریق هم HTTP و هم HTTPS انجام پذیر است و هنگام اتصال با HTTPS، گواهی معتبر SSL مایکروسافت نمایش داده می‌شود.

از این طریق، ساختن صفحات فیشینگی که سرویس‌های مایکروسافت مانند Office ۳۶۵، Azure ID و غیره را هدف قرار می‌دهد بسیار دقیق‌تر خواهد بود و کاربر در صفحات فیشینگ گواهی خود مایکروسافت را مشاهده می‌کند. در یکی از حملات، در ایمیل‌های اسپم یک فایل PDF قرار داده شده است که در آن لینکی برای یک فایل PDF دیگر وجود دارد.

صفحات فیشینگی که از  گواهی SSL رسمی بهره می‌برند

کاربر با کلیک بر روی لینک، به آدرس
hxxps://onedriveunbound۸۰۳۴۳.blob.core.windows[dot]net منتقل می‌شود که همانطور که از آدرس آن مشخص است، روی blob میزبانی شده است. محتویات این لینک یک صفحه فیشینگ Office ۳۶۵ است که دارای گواهی رسمی مایکروسافت است.

صفحات فیشینگی که از  گواهی SSL رسمی بهره می‌برند

پس از پر کردن فرم، اطلاعات به سروری ارسال می‌شود که توسط مهاجمین کنترل می‌شود:

صفحات فیشینگی که از  گواهی SSL رسمی بهره می‌برند

پس از ارسال اطلاعات به سرور هکرها، سایت فیشینگ به یکی از صفحات مایکروسافت منتقل می‌شود (https://products.office.com/en-us/sharepoint/collaboration).

برای حفاظت کاربران از مراجعه به چنین صفحاتی، توصیه شده است تا کاربران نسبت به تشخیص آدرس‌های غیر استاندارد آموزش داده شوند






منبع: افتا