گزارش جدید Cofense Intelligence از ظهور تکنیکی نوین در حملات فیشینگ پرده برمیدارد که با استفاده از Blob URIها، صفحات ورود جعلی را مستقیماً در مرورگر قربانی ایجاد کرده و از دید سیستمهای امنیتی پنهان میماند.
دریافت صفحه با کد QR
تکنیک جدید فیشینگ
با Blob URI مرورگر شما ابزار سرقت اطلاعاتتان میشود
hackread , 27 ارديبهشت 1404 ساعت 10:01
گزارش جدید Cofense Intelligence از ظهور تکنیکی نوین در حملات فیشینگ پرده برمیدارد که با استفاده از Blob URIها، صفحات ورود جعلی را مستقیماً در مرورگر قربانی ایجاد کرده و از دید سیستمهای امنیتی پنهان میماند.
گزارش جدید Cofense Intelligence از ظهور تکنیکی نوین در حملات فیشینگ پرده برمیدارد که با استفاده از Blob URIها، صفحات ورود جعلی را مستقیماً در مرورگر قربانی ایجاد کرده و از دید سیستمهای امنیتی پنهان میماند.
به گزارش افتانا، محققان امنیت سایبری در شرکت Cofense Intelligence از ظهور یک روش جدید و مؤثر در حملات فیشینگ خبر دادهاند که مجرمان سایبری از آن برای ارسال صفحات جعلی ورود به حسابهای کاربری به طور مستقیم به صندوق ورودی ایمیل کاربران استفاده میکنند. این روش که از اواسط سال ۲۰۲۲ مشاهده شده، از فناوری "blob URI" یا همان شناسههای منبع اشیای دودویی بزرگ سوءاستفاده میکند.
Blob URI چیست؟
آدرسهای blob URI در اصل به دادههایی اشاره دارند که به طور موقت توسط مرورگر اینترنتی شما بر روی رایانهتان ذخیره شدهاند. این فناوری در بسیاری از کاربردهای اینترنتی مشروع مورد استفاده قرار میگیرد؛ بهعنوان مثال، YouTube هنگام پخش ویدیوها، دادههای آنها را به طور موقت در مرورگر ذخیره میکند.
یکی از ویژگیهای کلیدی blob URIها این است که محلی (local) هستند؛ یعنی URI ایجادشده در یک مرورگر، حتی در همان دستگاه، توسط مرورگر دیگر قابل دسترسی نیست. این ویژگی که از لحاظ حریم خصوصی مفید است، اکنون توسط مهاجمان برای اهداف مخرب مورد استفاده قرار گرفته است.
این حمله چگونه انجام میشود؟
بر اساس تحلیل Cofense Intelligence که با سایت Hackread.com به اشتراک گذاشته شده دادههای blob URI در اینترنت عمومی قابل مشاهده نیستند؛ به همین دلیل، سیستمهای امنیتی که محتوای ایمیلها را بررسی میکنند (مانند درگاههای ایمیل امن یا SEG) نمیتوانند صفحات جعلی را تشخیص دهند.
ایمیل فیشینگ حاوی لینکی است که مستقیماً به یک وبسایت جعلی نمیرود، بلکه ابتدا کاربر را به یک وبسایت معتبر و قابل اعتماد مانند Microsoft OneDrive هدایت میکند. از آنجا، کاربر به یک صفحه پنهان که توسط مهاجم کنترل میشود منتقل میشود. این صفحه با استفاده از blob URI یک صفحه جعلی ورود (login) را مستقیماً در مرورگر کاربر ایجاد میکند. با اینکه این صفحه فقط بر روی کامپیوتر کاربر ذخیره میشود، اما میتواند اطلاعات ورود (نام کاربری و گذرواژه) را سرقت کرده و برای مهاجم ارسال کند.
چرا این حمله خطرناک است؟
- چون محتوای صفحه فیشینگ به صورت محلی ایجاد میشود، سیستمهای امنیتی نمیتوانند آن را اسکن و شناسایی کنند.
- مدلهای هوش مصنوعی مورد استفاده در امنیت سایبری هنوز به خوبی برای تشخیص استفاده مشروع و مخرب از blob URI آموزش ندیدهاند.
- مهاجمان با استفاده از چندین مرحله هدایت (redirect) شناسایی خود را دشوارتر میکنند.
هشدارها و راهکارها
محققان هشدار میدهند که این نوع فیشینگ احتمالاً رایجتر خواهد شد، چرا که توانایی عبور از فیلترهای امنیتی را دارد. بنابراین نسبت به کلیک روی لینکهای ایمیل احتیاط کنید، حتی اگر به نظر معتبر باشند. قبل از وارد کردن اطلاعات ورود، نشانی وب را دقیق بررسی کنید. وجود عبارتblob:http:// یاblob:https:// در نوار آدرس میتواند نشانهای از این نوع فریب باشد
درنهایت، افزایش آگاهی کاربران و بهروزرسانی مداوم مدلهای امنیتی میتواند مانع گسترش این نوع تهدید شود.
کد مطلب: 22808