امروزه حملات فیشینگ ( Phishing ) یکی از حملات متعدد و پرکاربردی میباشید که افراد برای به دست آوردن اطلاعات کاربران و یا نفوذ به سازمان استفاده میکنند. ابزارها و روش ها و تکنیک های متعددی برای پیاده سازی حملات فیشینگ ( Phishing ) وجود دارد اما امروز میخواهیم یکی از روش های جدیدی که مهاجمین از آن به جهت پیاده سازی حمله فیشینگ ( Phishing ) و دور زدن مکانیزم های امنیتی استفاده میکنند را معرفی کنیم.
فایل فرمت ICS مربوط به تقویم ها و iCalendar میباشد که امروزه افراد به جهت پیاده سازی حملات فیشینگ ( Phishing ) از آن استفاده میکنند. این افراد با قرار دادن لینک های آلوده خود در این فایل ها به مراتب میتوانند تجزیه و تحلیل های که به صورت خودکار بر روی ایمیل ها صورت میگیرد را دور بزنند. ( به ایمیل زیر توجه کنید ).
در تصویر بالا ما یک ایمیل عادی حاوی فایل .ICS را میبینیم که اطلاعاتی در رابطه با فعالیت مشکوک در حساب بانکی مارا به ما میدهد و کاربران را مجبور به و کنجکاو به بازکردن فایل Attach شده میکنند. پس از باز کردن فایل .ics چه چیزی میبینیم؟ یک دامنه که بر روی وب سایت قانونی SharePoint.com درحال میزبانی میباشد ! تا به اینجا کاربر شکی از مخرب بودن لینک نمیکند.
پس از لینکه کاربر بر روی لینک موجود در فایل .ics کلیک میکند به یک لینک دیگر حاوی یک Document انتقال داده میشود که در آن نیز یک لینک قرار گرفته است.
تا به اینجا همه چیز عادی به نظر رسیده و ما بر روی یک دامنه قانونی SharePoint.com کلیک کردیم و به یک Document رسیدیم، اما وقتی که بر روی لینک موجود در Document کلیک کنیم به یک صفحه دیگر منتقل میشویم که این صفحه مربوط به صفحه فیشینگ ( Phishing ) فرد مهاجم میشود.
همانطور که میبینید این صفحه اطلاعات متنوعی از جمله نام کاربری، رمز عبور و حتی رمز و اطلاعات حساب بانکی را به منظور امن سازی آن دریافت میکند.
اگر به لینک درون صفحه توجه کنید میبینید که این لینک نیز بر روی Storage GoogleAPI میزبانی میشود :) هرچند تعجبی ندارد که ما SharePoint.com و Storage GoogleAPI را در این حمله میبنیم زیرا که قبلا نیز این حملات بر روی این دامنه ها صورت گرفته است و این دامنه ها میزبان خوبی برای صفحات فیشینگ ( Phishing ) بوده اند.