امنیت

فیشینگ از طریق سایت‌های ایرانی

حدود سه هفته پیش در بررسی دوره‌ای سایت‌های ایرانی، چندین مورد فیشینگ پیدا کردم. در ادامه در مورد یکی از این فیشینگ‌ها می‌نویسم.

کشف فیشینگ

در بررسی‌ها متوجه شدم در بخشی از سایت ایزوایکو (مجتمع کشتی سازی و صنایع فرا ساحل ایران)، صفحه فیشینگ برای سرویس دراپ‌باکس وجود داره و برای قربانی‌ها ارسال شده.

صفحه فیشینگ

قربانی‌ها در صورت فریب خوردن و کلیک روی سرویس‌دهنده ایمیل برای لاگین، با صفحه دیگری مطابق زیر روبه‌رو می‌شدند. در اینجا من روی gmail کلیک کردم.

صفحه فیشینگ جیمیل

در اولین قدم به مدیران سایت خبر دادم تا مشکل رو برطرف کنند. هرچند پاسخی به ایمیل داده نشد، اما خوشبختانه الان صفحه فیشینگ از روی سایت حذف شده.

ایمیل اطلاع‌رسانی

بررسی سایت

نسخه وردپرس سایت به‌روز نبود (و همچنان هم به‌روز نشده متاسفانه) و می‌شه حدس زد با استفاده از نقص‌های شناخته شده امنیتی در نسخه‌های قدیمی وردپرس، به سایت نفوذ شده و مورد سواستفاده برای پخش فیشینگ قرار گرفته.

صفحه اول سایت نشانه‌هایی از تزریق کدهای ناخواسته جاوا اسکریپت داشت که حدس هک شدن سایت رو تایید می‌کنه.

جاوا اسکریپت

این کد چک می‌کنه که اگر بازدید کننده‌ها از طریق جستجو در یک موتور جستجو (مثل گوگل) به سایت وارد شده‌اند، اونها رو به سایت یک کازینو در هنگ‌کنگ منتقل می‌کنه. از این طریق، کاربران معمولی سایت و مدیران، دیرتر متوجه مشکل در سایتشون می‌شن.

ip

این کد جاوا اسکریپت هم از سایت حذف شده.

بررسی کد فیشینگ

در ادامه چک کردن سایت برای پیدا کردن سرنخی از نقطه ورود هکرها و یا شیوه کارشون در ارسال فیشینگ و ذخیره اطلاعات، موفق شدم که کدهای آپلود شده در سایت رو به دست بیارم. در دایرکتوری‌های مجموعه آپلود شده، فایل‌های robots.txt و htaccess گذاشته بودند برای جلوگیری از پیدا شدن صفحه‌های فیشینگ توسط موتورهای جستجو و سرویس‌های بررسی اتوماتیک.

جلوگیری از کشف فیشینگ

از بخش‌های مختلف کد که مربوط به شبیه‌سازی صفحه و نمایش فرم بود که بگذریم، می‌رسیم به جایی که هکر اطلاعات فرد فریب خورده رو دریافت می‌کنه. برای این هدف، اطلاعات مکانی قربانی، در کنار نام کاربری و پسوردش برای هکر ایمیل می‌شه.

ایمیل اطلاعات دزدیده شده

در کدهای بالا می‌بینید که ایمیل هکر connie.morgan009090 است. ردی از این ایمیل پیدا نکردم و به نظر می‌رسه تا الان تونسته خودش رو از چشم سرویس‌های کشف فیشینگ دور نگه‌داره.

پیشگیری و کشف به موقع

یکی از روش‌های پر استفاده هکرها برای نفوذ به سایت‌ها برای ارسال فیشینگ و حمله‌های با واسطه، استفاده از ضعف‌های امنیتی شناخته شده و عمومی است. وردپرس به خاطر گستردگی استفاده، یکی از اهداف همیشگی این هکرهاست. توصیه همیشگی به‌روز کردن هسته وردپرس و وپلاگین‌ها، تکراری اما مهمه.

نصب پلاگین‌های امنیتی در وردپرس (مثلا iThemes Security) می‌تونه کمک زیادی بکنه در افزایش امنیت سایت‌های وردپرسی با چک کردن و تغییر تنظیمات پیش‌فرض.

اگر مدیریت سرور هم با خودتونه، می‌تونید از ابزارهای رایگان و مفیدی مثل maldet برای کشف بدافزارها استفاده بکنید. ابزارهایی مثل maldet در بازهای زمانی تعیین شده، فایل‌های جدید روی سرور رو چک کرده و با مقایسه با بدافزارهای شناخته شده، اطلاع رسانی و پاک‌سازی می‌کنه.

یکی دیگه از روش‌ها استفاده از سرویس‌های آنلاینی مثل mxtoolbox است که روزانه سایت شما و ip مربوطه رو با لیست‌های سرویس‌های کشف فیشینگ و بدافزار، چک می‌کنند و در صورتی که سایتتون توسط یکی از این سرویس‌ها کشف شده باشه، بهتون اطلاع می‌ده.

Standard
امنیت, برنامه‌نویسی

اسکریپت ارسال ایمیل تقلبی

یک از زبان های برنامه نویسی مورد علاقه من PHP است که خب توی بحث تست نفوذ و امنیت مجازی هم خیلی کمکم می کنه. زمانی که از حمله های فیشینگ می خوندم تصمیم گرفتم چک کنم و ببینم که چطور می شه یک ایمیل فیشینگ فرستاد. این شد که در نهایت به این اسکریپت ارسال ایمیل تقلبی رسیدم.

نسخه اولیه اش رو می تونید در لینک زیر ببینید:

این نسخه کار آمد نبود و به راحتی به عنوان اسپم و یا فیشینگ شناخته می شد. بنابرای سعی کردم در مورد روش های تشخیص ایمیل های اسپم و فیشینگ مطالعه کنم و راهی برای فرار از اون روش ها در اسکریپت خودم بگنجونم.

تغییر دادن اسم فرستنده، تغییر دادن ایمیل فرستنده و جلوگیری از درج آدرس سرور در مشخصات فرستنده، گنجوندن مسیر ریپلای انتخابی و کلی مورد کوچیک دیگه.

Fake Email

در کنار تغییرات تکنیکال، سعی کردم چهره مناسبی هم به فرم بدم. استایل استفاده شده هم یه نمونه رایگان در اینترنت بود که با کمی تغییرات برای این فرم مناسب شد.

از آدرس زیر می تونید به مخزن گیتهاب این پروژه دسترسی داشته باشید.

اسکریپت رو با مجوز Creative Commons نسخه ۳ منتشر می کنم پس کپی کردن، تغییر و حتی  فروشش آزاده به شرطی که محدودیت های مجوز رو رعایت کنید.

این اسکریپت فقط جنبه آموزشی داره و من از اون علیه کسی استفاده نکردم و امیدوارم شما هم با هدف مثبت از اون استفاده کنید.

به روز رسانی: پس از کامنت مرتضی که در یک سرور، ایمیل ارسال نمی شد و پس از چک کردن موضوع متوجه شدم مشکلی در فانکشن mail در PHP وجود نداره. مشکل از ارسال متن ایمیل در Header بود. متن ایمیل رو به روش base64 رمز می کردم و به ایمیل اتچ می کردم که گویا این سرور نمی پذیرفت این مورد رو. بنابراین اسکریپت رو تغییر دادم که متن به صورت ساده ارسال بشه. می تونید از مخزن گیتهاب، نسخه جدید رو دریافت کنید.

Standard