کمیته رکن چهارم – روش جدید نفوذگران در ساخت صفحات جعلی برای انجام حملات فیشینگ، اینبار توسط فونتهای مخصوص صفحات وب صورت میگیرد.
نفوذگران تکنیک جدیدی را برای مبهمسازی کُدهای صفحات جعلی در طراحی حملات فیشینگ ابداع کردهاند و از Web Fonts بهگونهای استفاده میکنند که پیادهسازی و جایگزینی کُدهای رمزگونه مانند متن ساده به نظر میآید. هنگامی که مرورگر کُدهای صفحات جعلی را ترجمه میکند و برای کاربر نمایش میدهد، کاربر صفحهای را مشاهده میکند که تنها برای دزدیدن اطلاعات شخصی طراحی شده است و کُدگذاری آن بهگونهای توسط توابع خاصی از جاوااسکریپت صورت میگیرد که تشخیص آن سخت است.
استفاده از جایگزینی کاراکترها بهصورت رمزگونه، تکنیک جدیدی بهشمار نمیآید و بازگردانی کُدها و متنها به حالت اولیه توسط سیستمهای خودکار سختی به همراه ندارد. اما نوآوری جدیدی که در این حملات به کار رفته، عدم استفاده از توابع جاوااسکریپت برای جایگزینی بوده و بهجای آن، استفاده از کُدهای CSS است. این حمله فقط با استفاده از دو فونت woff و woff2 که با الگوریتم رمزنگاری base64 مخفی شدهاند، صورت میگیرد. محققان توانایی تشخیص صفحات جعلی را کسب کردهاند که از فونتهای خاص برای ترجمه شدن در مرورگر و نمایش بهصورت متن ساده استفاده میکنند.
طبق گزارش محققان، فونت WOFF باید خروجی استانداردی از حروف الفبا را برای استفاده در صفحات وب فراهم سازد و انتظار میرود توانایی جایگزینی آن با هر یک از حروف الفبا بهصورت کامل امکانپذیر باشد؛ اما مشاهده میکنیم در حملهی فوق، متن مورد استفاده توسط این فونت در صفحه وجود ندارد ولی در مرورگر نمایش داده میشود. همچنین برای فریب بیشتر در این نوع از حملات فیشینگ، نفودگران از فُرمت SVG استفاده میکنند که میتواند ازطریق کُد، کاراکترهای مورد نظر روی مرورگر را به کاربر نمایش دهد و راه تشخیص را سختتر کند.
این روش از ژوئن ۲۰۱۸ توسط نفوذگران در ابزارهای اتوماتیک مخصوص حملات Phishing مورد استفاده قرار گرفته است که محققان در ماه گذشته موفق به کشف آن شدهاند. این نشان میدهد که ممکن است در گذشته فریمورکهای مخرب دیگری برای طراحی حملات فیشینگ این روش استفاده کرده باشند.
