پرش به محتوای اصلی

حملات مرورگر در مرورگر: از تئوری تا واقعیت

مقالات آنتی ویروس
تاریخ ارسال : 1405/02/15 منبع : ایده ارتباط تراشه
حملات مرورگر در مرورگر: از تئوری تا واقعیت

حمله "مرورگر در مرورگر" (Browser in the Browser) که نخستین بار به صورت نظری در سال ۲۰۲۲ مطرح شد، اکنون در حملات فیشینگ دنیای واقعی مورد استفاده قرار گرفته است. در این مطلب بررسی می کنیم این روش چگونه عمل می کند و چگونه می توان یک پنجره احراز هویت جعلی را تشخیص داد.

سال ۲۰۲۲، روشی از حمله به نام مرورگر در مرورگر (Browser in the Browser) در ابتدا توسط پژوهشگر امنیت سایبری با نام mr.d0x معرفی شده بود. در آن زمان، هیچ نمونه واقعی از استفاده این مدل در دنیای واقعی وجود نداشت. اکنون، با گذشت چهار سال، حملات مرورگر در مرورگر از حالت صرفا تئوری خارج شده و به واقعیت تبدیل شده اند؛ به طوری که مهاجمان در حال حاضر از این روش در حملات عملی استفاده می کنند. در این مطلب، بررسی می کنیم که حمله مرورگر در مرورگر دقیقا چیست، هکرها چگونه از آن استفاده می کنند و مهم تر از همه، چگونه می توانید از تبدیل شدن به قربانی بعدی این نوع حمله جلوگیری کنید.

حمله مرورگر در مرورگر (BitB) چیست؟

برای شروع، بد نیست مروری داشته باشیم بر این که پژوهشگر mr.d0x دقیقا چه ایده ای را مطرح کرد. اساس این حمله از یک مشاهده مهم نشات می گیرد: ابزارهای مدرن توسعه وب مانند HTML ،CSS و JavaScript تا چه حد پیشرفته شده اند. همین موضوع الهام بخش طراحی یک مدل فیشینگ پیچیده برای این پژوهشگر شد.

حمله مرورگر در مرورگر یا BitB نوعی پیشرفته از فیشینگ است که با استفاده از طراحی وب، وب سایت های جعلی ایجاد می کند؛ سایت هایی که پنجره های ورود (Login) سرویس های شناخته شده ای مانند مایکروسافت، گوگل، فیسبوک یا اپل را به شکلی کاملا واقعی شبیه سازی می کنند. در این سناریو، مهاجم یک وب سایت ظاهرا معتبر طراحی می کند تا کاربر را به آن جذب کند. پس از ورود به این سایت، کاربر برای انجام اقداماتی مانند ثبت نظر یا خرید، مجبور می شود ابتدا "وارد حساب کاربری" خود شود.

فرآیند ورود در نگاه اول بسیار ساده به نظر می رسد: کافی است روی دکمه "ورود از طریق {نام یک سرویس محبوب}" کلیک کنید. اما دقیقا از همین جا ماجرا پیچیده می شود. به جای این که یک صفحه احراز هویت واقعی از سوی سرویس اصلی نمایش داده شود، کاربر با یک فرم جعلی مواجه می شود که در داخل همان سایت مخرب نمایش داده شده و دقیقا شبیه یک پنجره پاپ آپ مرورگر طراحی شده است. نکته فریبنده تر اینجاست که حتی نوار آدرس این پنجره نیز توسط مهاجم شبیه سازی شده و یک URL کاملا معتبر را نمایش می دهد. به همین دلیل، حتی بررسی دقیق هم ممکن است این ترفند را آشکار نکند.

در ادامه، کاربر بدون اطلاع از جعلی بودن این پنجره، اطلاعات ورود خود به سرویس هایی مانند مایکروسافت، گوگل، فیسبوک یا اپل را وارد می کند و این اطلاعات مستقیما در اختیار مجرمان سایبری قرار می گیرد. این روش برای مدتی صرفا یک آزمایش تئوریک از سوی پژوهشگر امنیتی بود، اما اکنون مهاجمان واقعی آن را به مجموعه ابزارهای خود اضافه کرده اند.

سرقت اطلاعات ورود فیسبوک (Facebook)

مهاجمان نسخه اولیه ایده mr.d0x را با خلاقیت خود تغییر داده اند: در نمونه های جدید حملات مرورگر در مرورگر، ماجرا معمولا با ایمیل هایی آغاز می شود که با هدف ایجاد نگرانی و ترس در گیرنده طراحی شده اند. برای مثال، در یکی از کمپین های فیشینگ، مهاجمان خود را به جای یک شرکت حقوقی معرفی کرده و به کاربر اطلاع می دهند که به دلیل انتشار یک محتوا در فیسبوک، مرتکب نقض حق نشر شده است. در این پیام، لینکی کاملا معتبر و قابل اعتماد به نظر می رسد که ادعا می شود به همان پست مورد نظر اشاره دارد.

مهاجمان پیام هایی را از طرف یک شرکت حقوقی جعلی ارسال کردند و در آن مدعی نقض حق نشر شدند - همراه با لینکی که ظاهرا به پست مشکل دار در فیسبوک اشاره داشت.


نکته جالب اینجاست که برای کاهش حساسیت و شک کاربر، با کلیک روی لینک، بلافاصله صفحه جعلی ورود فیسبوک نمایش داده نمی شد. در عوض، ابتدا یک CAPTCHA جعلی از طرف Meta به کاربر نمایش داده می شد. تنها پس از عبور از این مرحله، پنجره پاپ آپ احراز هویت جعلی به کاربر نمایش داده می شد.

این یک پنجره پاپ آپ واقعی مرورگر نیست؛ بلکه یک عنصر طراحی شده در وب سایت است که صفحه ورود فیسبوک را شبیه سازی می کند - ترفندی که به مهاجمان اجازه می دهد یک آدرس کاملا متقاعد کننده نمایش دهند.


به طور طبیعی، صفحه ورود جعلی فیسبوک مطابق با طرح اولیه mr.d0x ساخته شده بود: این صفحه به طور کامل با استفاده از ابزارهای طراحی وب ایجاد شده بود تا اطلاعات ورود قربانی را سرقت کند. در همین حال، نشانی اینترنتی نمایش داده شده در نوار آدرس جعلی، به سایت واقعی فیسبوک اشاره داشت.

چگونه از قربانی شدن جلوگیری کنیم؟

این واقعیت که کلاهبرداران اکنون از حملات مرورگر در مرورگر استفاده می کنند، نشان می دهد که روش های فریب آن ها دائما در حال تکامل است. با این حال، جای نگرانی نیست؛ راه هایی برای تشخیص معتبر بودن یک پنجره ورود وجود دارد. در این میان، یک مدیر رمز عبور (Password Manager) می تواند نقش یک ابزار قابل اعتماد برای بررسی امنیت هر وب سایت را ایفا کند.

دلیل این موضوع این است که مدیر رمز عبور هنگام تکمیل خودکار اطلاعات ورود، به آدرس واقعی URL توجه می کند، نه به چیزی که در ظاهر نوار آدرس نمایش داده می شود و نه به طراحی صفحه. برخلاف انسان، مدیر رمز عبور نمی تواند با ترفندهایی مانند مرورگر در مرورگر، تغییرات جزئی در دامنه (typosquatting) یا فرم های فیشینگ پنهان در تبلیغات و پاپ آپ ها فریب بخورد. یک قانون ساده وجود دارد: اگر مدیر رمز عبور شما پیشنهاد پر کردن خودکار نام کاربری و رمز عبور را می دهد، یعنی در سایتی هستید که قبلا برای آن اطلاعات ذخیره کرده اید. اما اگر هیچ واکنشی نشان نمی دهد، باید به معتبر بودن آن سایت شک کنید.

فراتر از این موارد، پیروی از توصیه های آزموده شده ما می تواند به شما کمک کند در برابر انواع روش های فیشینگ از خود محافظت کنید، یا دست کم در صورت موفقیت یک حمله، میزان خسارت را کاهش دهید:

  • فعال سازی احراز هویت دومرحله ای (2FA). برای تمام حساب هایی که از این قابلیت پشتیبانی می کنند. در حالت ایده آل، از کدهای یک بار مصرف تولید شده توسط یک اپلیکیشن احراز هویت اختصاصی به عنوان عامل دوم استفاده کنید. این کار باعث می شود بتوانید از بسیاری از حملات فیشینگ که برای سرقت کدهای تایید ارسال شده از طریق پیامک، پیام رسان ها یا ایمیل طراحی شده اند، جلوگیری کنید. برای اطلاعات بیشتر درباره 2FA مبتنی بر کدهای یک بار مصرف می توانید به مطلب اختصاصی ما مراجعه کنید.
  • استفاده از کلیدهای عبور (Passkeys). امکان ورود با این روش می تواند به عنوان یک نشانه نیز عمل کند که شما در یک وب سایت معتبر قرار دارید. می توانید برای آشنایی کامل با اینکه کلیدهای عبور چیستند و چگونه می توان از آن ها استفاده کرد، به بررسی جامع ما در این زمینه مراجعه کنید.
  • تنظیم گذرواژه های منحصر به فرد و پیچیده برای همه حساب ها. تحت هیچ شرایطی از یک رمز عبور تکراری برای چند حساب مختلف استفاده نکنید. ما اخیرا در وبلاگ خود درباره ویژگی های یک رمز عبور قوی توضیح داده ایم. برای تولید ترکیب های منحصر به فرد بدون نیاز به حفظ کردن آن ها، استفاده از ابزارهایی مانند مدیر گذرواژه کسپرسکی توصیه می شود. این ابزار علاوه بر تولید رمزهای یک بار مصرف برای احراز هویت دومرحله ای، امکان ذخیره کلیدهای عبور و همگام سازی رمزها و فایل ها بین دستگاه های مختلف را نیز فراهم می کند.

در نهایت، این مطلب یادآوری دیگری است بر این نکته که حملات تئوریکی که توسط پژوهشگران امنیت سایبری مطرح می شوند، اغلب در نهایت وارد دنیای واقعی می شوند. بنابراین، پیگیری وبلاگ های امنیتی و عضویت در کانال های اطلاع رسانی می تواند به شما کمک کند تا از جدیدترین تهدیدات امنیتی و روش های مقابله با آن ها مطلع بمانید.

تبلیغات

طراحی و قالب سایت غذا و رستوران

مناسب برای معرفی رستوران، کافی شاپ و فست فود
دسته بندی ها
سایر مقالات
برچسب ها
مرورگر
فیشینگ
فیسبوک
مدیر رمز عبور
پسورد منیجر
عضویت در خبرنامه
فروش ویژه کسپرسکی برای اندروید
فروش ویژه بهار آنتی ویروس نود 32 و کسپرسکی

شرکت ایده ارتباط تراشه

فعالیت خود را از سال 1390، به عنوان بزرگترین ارائه دهنده ابزار و نرم افزارهای امنیت اطلاعات رایانه ای آغاز نموده است و با اخذ نمایندگی رسمی شرکت های ESET و Kaspersky سبد متنوعی از آنتی ویروس های خانگی و تحت شبکه را در اختیار گرفته تا یک محصول اورجینال به کاربران خود ارائه دهد. این شرکت با دارا بودن دفاتر نمایندگی در سراسر کشور و با تشکیل تیم فنی قدرتمند برای پشتیبانی همواره تلاش داشته تا بهترین راهکارها را در قالب محصولات و خدمات در اختیار مشتریان قرار دهد. همچنین این شرکت با اجرای بهترین خدمات از جمله طراحی سایت، نرم افزار مدیریت ارتباط با مشتریان، تولید ویدیو های آموزشی توانسته مشاوری برای بروز بودن کسب و کار مشتریان خود باشد و با شعار "کسب و کار شما گران بها است" تا فردا هایی روشن تر همواره برای خدمت رسانی به هموطنان عزیز در تلاش بوده است.

تماس با ما

تهران، شهرک راه آهن، خیابان کامیاب، کوچه کاوش، برج تریتا، طبقه 19، واحد 184

47000782 , 44950389 , 44964960 , 44964967 (021)

09037904640 , 09034496999

Logo-Samandehi Logo-Enamad
کلیه حقوق مادی و معنوی این سایت متعلق به شرکت ایده ارتباط تراشه می باشد.
Whatsapp Chat کارشناسان ما پاسخگوی شما هستند