حدود سه هفته پیش در بررسی دوره‌ای سایت‌های ایرانی، چندین مورد فیشینگ پیدا کردم. در ادامه در مورد یکی از این فیشینگ‌ها می‌نویسم.

کشف فیشینگ

در بررسی‌ها متوجه شدم در بخشی از سایت ایزوایکو (مجتمع کشتی سازی و صنایع فرا ساحل ایران)، صفحه فیشینگ برای سرویس دراپ‌باکس وجود داره و برای قربانی‌ها ارسال شده.

قربانی‌ها در صورت فریب خوردن و کلیک روی سرویس‌دهنده ایمیل برای لاگین، با صفحه دیگری مطابق زیر روبه‌رو می‌شدند. در اینجا من روی gmail کلیک کردم.

در اولین قدم به مدیران سایت خبر دادم تا مشکل رو برطرف کنند. هرچند پاسخی به ایمیل داده نشد، اما خوشبختانه الان صفحه فیشینگ از روی سایت حذف شده.

بررسی سایت

نسخه وردپرس سایت به‌روز نبود (و همچنان هم به‌روز نشده متاسفانه) و می‌شه حدس زد با استفاده از نقص‌های شناخته شده امنیتی در نسخه‌های قدیمی وردپرس، به سایت نفوذ شده و مورد سواستفاده برای پخش فیشینگ قرار گرفته.

صفحه اول سایت نشانه‌هایی از تزریق کدهای ناخواسته جاوا اسکریپت داشت که حدس هک شدن سایت رو تایید می‌کنه.

این کد چک می‌کنه که اگر بازدید کننده‌ها از طریق جستجو در یک موتور جستجو (مثل گوگل) به سایت وارد شده‌اند، اونها رو به سایت یک کازینو در هنگ‌کنگ منتقل می‌کنه. از این طریق، کاربران معمولی سایت و مدیران، دیرتر متوجه مشکل در سایتشون می‌شن.

این کد جاوا اسکریپت هم از سایت حذف شده.

بررسی کد فیشینگ

در ادامه چک کردن سایت برای پیدا کردن سرنخی از نقطه ورود هکرها و یا شیوه کارشون در ارسال فیشینگ و ذخیره اطلاعات، موفق شدم که کدهای آپلود شده در سایت رو به دست بیارم. در دایرکتوری‌های مجموعه آپلود شده، فایل‌های robots.txt و htaccess گذاشته بودند برای جلوگیری از پیدا شدن صفحه‌های فیشینگ توسط موتورهای جستجو و سرویس‌های بررسی اتوماتیک.

از بخش‌های مختلف کد که مربوط به شبیه‌سازی صفحه و نمایش فرم بود که بگذریم، می‌رسیم به جایی که هکر اطلاعات فرد فریب خورده رو دریافت می‌کنه. برای این هدف، اطلاعات مکانی قربانی، در کنار نام کاربری و پسوردش برای هکر ایمیل می‌شه.

در کدهای بالا می‌بینید که ایمیل هکر connie.morgan009090 است. ردی از این ایمیل پیدا نکردم و به نظر می‌رسه تا الان تونسته خودش رو از چشم سرویس‌های کشف فیشینگ دور نگه‌داره.

پیشگیری و کشف به موقع

یکی از روش‌های پر استفاده هکرها برای نفوذ به سایت‌ها برای ارسال فیشینگ و حمله‌های با واسطه، استفاده از ضعف‌های امنیتی شناخته شده و عمومی است. وردپرس به خاطر گستردگی استفاده، یکی از اهداف همیشگی این هکرهاست. توصیه همیشگی به‌روز کردن هسته وردپرس و وپلاگین‌ها، تکراری اما مهمه.

نصب پلاگین‌های امنیتی در وردپرس (مثلا iThemes Security) می‌تونه کمک زیادی بکنه در افزایش امنیت سایت‌های وردپرسی با چک کردن و تغییر تنظیمات پیش‌فرض.

اگر مدیریت سرور هم با خودتونه، می‌تونید از ابزارهای رایگان و مفیدی مثل maldet برای کشف بدافزارها استفاده بکنید. ابزارهایی مثل maldet در بازهای زمانی تعیین شده، فایل‌های جدید روی سرور رو چک کرده و با مقایسه با بدافزارهای شناخته شده، اطلاع رسانی و پاک‌سازی می‌کنه.

یکی دیگه از روش‌ها استفاده از سرویس‌های آنلاینی مثل mxtoolbox است که روزانه سایت شما و ip مربوطه رو با لیست‌های سرویس‌های کشف فیشینگ و بدافزار، چک می‌کنند و در صورتی که سایتتون توسط یکی از این سرویس‌ها کشف شده باشه، بهتون اطلاع می‌ده.