کمیته رکن چهارم – یک ابزار نفوذ به حسابهای کاربری آنلاین، که اوایل ماه جاری پژوهشگری امنیتی منتشر کرد، با سهولتی که پیش از این ممکن نبود حملات فیشینگ را بهشکل خودکار درمیآورد و حتی حسابهایی را که از طریق تایید هویت حفاظت دومرحلهای دارند دور بزند.
این ابزار را که مودلیشکا (Modlishka به معنی آخوندک) نام دارد، پیوتر دوشیسکی، محققی لهستانی، توسعه داده است.
مودلیشکا از قابلیتی که متخصصان آیتی آن را پروکسی معکوس (Reverse Proxy) مینامند استفاده میکند. در این ابزار پروکسی معکوس برای مدیریت ترافیک صفحات ورودی وبسایتها و عملیات فیشینگ بهشکل ویژهای بازنویسی شده است.
برخلاف ساختار پروکسیها، که در آن درخواستها از شبکه داخلی دریافت و به سرورهای اینترنتی ارسال میشود، در حالت پروکسی معکوس درخواستها از محیط اینترنت دریافت و سپس به شبکهای داخلی هدایت میشوند.
به زبانی سادهتر، مودلیشکا با قرارگیری میان کاربر قربانی و سایت هدف، مثلا جیمیل، یاهو یا توییتر، درخواستهای مربوط به دامنه تحت فیشینگ را دریافت و آنها را در زیرساخت خود ذخیره میکند. در این حالت، قربانی به جای اینکه مستقیم به سایت هدف متصل شود، از طریق سرورهای مودلیشکا عینا سایت مقصد را مشاهده و اطلاعاتش را در آن وارد میکند. در چنین موقعیتی، این ابزار به کمک قابلیت پروکسی معکوس درخواستهای موردنظر خود را برای جعل هویت کاربر به سایت یادشده ارسال میکند.
کاربر قربانی دقیقا همان محتوایی را مشاهده میکند که در حالت عادی نیز قرار بود مشاهده کند. در این بین، اما دادههای ردوبدلشده از سرور مودلیشکا تبادل شده و در آن ذخیره میشود.
هرگونه کلمه کاربری و رمز عبوری که قربانی در فرم ورود به صفحه سایت وارد میکند، بهطور خودکار در درگاه این ابزار فیشینگ نگهداری میشود. این موضوع شامل رمزهای تایید هویت دومرحلهای نیز میشود.
به دلیل ساختار ویژهای که این ابزار در اختیار دارد، نیازمند استفاده از هیچگونه قالب ازپیشتعیینشدهای نیست؛ پیشفرضی که اصولا در حملات فیشینگ معمول به آن نیاز است. دلیلش این است که دادههای سایت هدف در آن واحد به کاربر منتقل میشود، بنابراین لازم نیست هکرها زمان خود را روی طراحی قالبهای مشابه سایتهای موردنظر صرف کنند.
به جای آن، مهاجمها به دامنهای نیاز دارند که روی سرور مودلیشکا میزبانی شود. در کنارش، به یک گواهی TLS برای جلوگیری از نمایش اخطار امنیتی به قربانی نیز نیاز است.
پیوتر دوشیسکی برای جلوگیری از چنین حملاتی پیشنهاد میدهد کاربران تایید هویت دومرحلهای را با کلیدهای سختافزاری فعال کنند. او همچنین استفاده از ابزارهای مدیریت رمز عبور را، که قابلیت تشخیص دامنههای جعلی از اصلی را دارند، یکی دیگر از راههای جلوگیری از هک شدن به واسطه حملات فیشینگ میداند.
منبع: زد دی نت