fanavaran
آخرین اخبار
   
    کد خبر : 207482
    تاریخ انتشار : 19 اردیبهشت 1396 10:23
    تعداد بازدید : 592

    ماجرای حمله فیشینگ «گوگل داکس» چه بود؟

    لیلی هی نیومن- در روز های اخیر یکی از اخباری که توجه زیادی را در دنیای امنیت دیجیتال به خود جلب کرد، داستان حمله پیچیده فیشینگ گوگل داکس بوده است که تعداد زیادی از کاربران جی میل را به تله انداخت.

    @lilyhnewman 
    به طور کلی در حملات فیشینگ، فرد خرابکار یک صفحه جعلی ورود به حساب مانند صفحه جعلی ورود جی میل ایجاد می کند که فرد قربانی با وارد کردن نام کاربری و گذرواژه حساب خودش، آنها را به هکر تقدیم می کند. حال آنکه نکته کلیدی حمله فیشینگ گوگل داکس این است که فرد قربانی نیاز به وارد کردن هیچ رمز عبوری ندارد و کافی است روی لینکی که در آن ادعا شده فایلی در گوگل درایو توسط یکی از دوستان فرد قربانی با وی به اشتراک گذاشته است، کلیک کند.
    زمانی که فرد قربانی روی لینک داخل ایمیل کلیک کند، صفحه ای باز می شود و از کاربر درخواست می شود برای دسترسی به فایل، به یک اپلیکیشن ناشناس دسترسی کامل به حساب جی میل را بده؛ دسترسی شامل خواندن، ارسال، پاک کردن، مدیریت کردن ایمیل و همچنین لیست ایمیل تمام دوستان می شود. زمانی که فرد قربانی دسترسی این اپلیکیشن را تایید می کرد، فرد خرابکار به راحتی به تمام محتوای ایمیل قربانی بدون آنکه وی نام کاربری یا رمز عبور را بزند، دسترسی پیدا می کند و این ویژگی دقیقا نکته کلیدی و پیچیده این حمله فیشینگ است.
    علاوه بر این در این حمله کاربرد ورود دو مرحله ای بی معنی شده است؛ زیرا هیچ نیازی به ورود مجدد به حساب جی میل نیست. در نهایت هم آدرسی که کاربر در تمام مدت زمان حمله و دادن دسترسی به اپلیکیشن فرد خرابکار مشاهده می کند، آدرس واقعی ورود به جی میل است.
    در نتیجه و با توجه به سه نکته بالا این حمله را می توان یکی از پیچیده ترین حملات فیشینگ علیه کاربران اینترنت دانست.
    همانگونه که در بالا توضیح داده شد، این حمله پیچیدگی ویژه ای داشته است که راه حل های عادی مانند دقت در آدرس اینترنتی قبل از وارد کردن اطلاعات حساس مانند رمز عبور کاربردی نبوه است. در نتیجه برای مقابله با این دست حملات تنها راه حل دقت در زمان نصب هر گونه اپلیکیشن و مشاهده دسترسی هایی است که یک اپلیکیشن درخواست می کند.
    *ستون نویس سایت Wired


    نظر شما



    نمایش غیر عمومی
    تصویر امنیتی :