الأساليب التي يستخدمها المهاجمون لإعادة توجيه الضحايا إلى مواقع ضارة ومواقع تصيد احتيالي من عناوين URL التي تبدو آمنة.

بواسطة: رومان ديدينوك | مدونة كاسبيرسكي

عادةً ما يعرف متخصصو أمن معلومات الشركات عددًا لا بأس به من الموظفين الواثقين بأنفسهم والذين يقولون إنهم لا ينقرون على روابط خطيرة، وبالتالي ليسوا عرضة للتهديدات الإلكترونية. في بعض الأحيان يستخدم هؤلاء الموظفون هذه الحجة عندما يطلبون إيقاف إجراءات الأمان الخاصة بالشركة، والتي تتداخل بطريقة أو بأخرى مع العمل. ولكن غالبًا ما يقوم المهاجمون بإخفاء الروابط الضارة والتصيد الاحتيالي، في محاولة لإرباك عوامل تصفية البريد والمراقبين البشريين. ما يريدونه هو جعل الضحايا (حتى لو كانوا يفحصون عناوين URL كما ننصحنا مرارًا وتكرارًا) ينقرون على عنوان ينقلهم فعليًا إلى عنوان مختلف. فيما يلي الأساليب الأكثر شيوعًا التي يستخدمها مجرمو الإنترنت لإخفاء عناوين URL الضارة أو التصيدية.

رمز @ في العنوان
إن أبسط طريقة لإخفاء المجال الحقيقي في العنوان هي استخدام الرمز @ في عنوان URL. يعد هذا رمزًا شرعيًا تمامًا يمكن استخدامه لدمج تسجيل الدخول وكلمة المرور في عنوان موقع الويب - يسمح HTTP بتمرير بيانات الاعتماد إلى خادم الويب عبر عنوان URL ببساطة باستخدام تنسيق تسجيل الدخول:password@domain.com. إذا كانت البيانات الموجودة قبل الرمز @ غير صحيحة وغير مناسبة للمصادقة، فسيتجاهلها المتصفح ببساطة، ويعيد توجيه المستخدم إلى العنوان الموجود بعد الرمز @. لذلك يستخدم مجرمو الإنترنت هذا: يتوصلون إلى اسم صفحة مقنع، ويستخدمون اسم موقع شرعي فيه، ويضعون العنوان الحقيقي بعد الرمز @. على سبيل المثال، انظر إلى عنوان مدونتنا المخفي بهذه الطريقة:

http://convincing-business-dependent-page-name-pretending-to-be-on-google.com@kaspersky.com/blog/
تبدو وكأنها صفحة تحتوي على العديد من الكلمات في الاسم مستضافة في مكان ما على نطاق Google، ولكن المتصفح سينقلك إلى http://kaspersky.com/blog/ .

أرقام بدلاً من عنوان آي بي IP
في الطريقة السابقة، غالبًا ما يحاول المهاجمون إرباك المستخدم باسم صفحة طويلة من أجل صرف انتباهه عن العنوان الحقيقي — لأنه لا يزال موجودًا في عنوان URL. ولكن هناك طريقة لإخفائه تمامًا — عن طريق تحويل عنوان IP الخاص بموقع ما إلى عدد صحيح. كما تعلم، لا يتم تخزين عناوين IP بشكل ملائم في قواعد البيانات. لذلك، في مرحلة ما، تم اختراع آلية لتحويل عناوين IP إلى أعداد صحيحة (وهي أكثر ملاءمة للتخزين) والعكس صحيح. وفي هذه الأيام، عندما ترى المتصفحات الحديثة رقمًا في عنوان URL، فإنها تقوم تلقائيًا بتحويله إلى عنوان IP. بالاشتراك مع نفس الرمز @، فإنه يخفي المجال الحقيقي بشكل فعال. هذه هي الطريقة التي يمكن أن يبدو بها الرابط إلى موقع شركتنا:

http://google.com…%@3109359386/
باستخدام هذه الخدعة، يحاول مجرمو الإنترنت تركيز الاهتمام على النطاق قبل الرمز @، وجعل كل شيء آخر يبدو وكأنه نوع من المعلمات - غالبًا ما تقوم أدوات التسويق المختلفة بإدخال جميع أنواع العلامات الأبجدية الرقمية في روابط الويب.

خدمات اختصار الروابط
هناك طريقة أخرى بسيطة إلى حد ما لإخفاء عنوان URL الحقيقي وهي استخدام إحدى خدمات تقصير الروابط الشرعية. يمكنك تضمين أي شيء على الإطلاق داخل رابط قصير، ومن المستحيل التحقق مما يخفيه دون النقر عليه. http://tinyurl.com/ypzuvcht

مسرع جوجل لصفحات الجوال
منذ عدة سنوات، أنشأت جوجل وبعض الشركاء إطار عمل Google AMP، وهي خدمة تهدف إلى مساعدة صفحات الويب في التحميل بشكل أسرع على الأجهزة المحمولة. في عام 2017، ادعت جوجل أن صفحات AMPed يتم تحميلها في أقل من ثانية وتستخدم بيانات أقل بعشر مرات من نفس الصفحات التي لا تحتوي على AMP. لقد تعلم المهاجمون الآن كيفية استخدام هذه الآلية للتصيد الاحتيالي. تحتوي رسالة البريد الإلكتروني على رابط يبدأ بـ "google.com/amp/s/"، ولكن إذا نقر المستخدم عليه، ستتم إعادة توجيهه إلى موقع لا ينتمي إلى Google. حتى أن بعض مرشحات مكافحة التصيد الاحتيالي غالبًا ما تقع في فخ هذه الخدعة: نظرًا لسمعة Google، فإنهم يعتبرون هذا الرابط موثوقًا بدرجة كافية.

مقدمو خدمة البريد الإلكتروني
هناك طريقة أخرى لإخفاء صفحتك خلف عنوان URL لشخص آخر وهي استخدام ESP؛ أي خدمة لإنشاء رسائل إخبارية شرعية ورسائل بريدية أخرى. لقد سبق أن كتبنا بالتفصيل عن هذه الطريقة في إحدى منشوراتنا السابقة . باختصار، يستخدم المجرمون إحدى هذه الخدمات، وينشئون حملة بريدية، ويدخلون عنوان URL للتصيد الاحتيالي، ونتيجة لذلك يحصلون على عنوان نظيف جاهز يتمتع بسمعة شركة ESP. تحاول شركات ESP بالطبع مكافحة إساءة استخدام خدماتها، لكن الأمر لا ينجح دائمًا.

إعادة التوجيه عبر بايدو
يتمتع محرك البحث الصيني بايدو بأسلوب مثير للاهتمام في عرض نتائج البحث. وعلى عكس Google، فهو لا يمنحك روابط للمواقع، بل يقوم بدلاً من ذلك بإنشاء روابط لنفسه مع إعادة التوجيه إلى الموقع الذي تبحث عنه. أي أنه من أجل إخفاء عنوان URL ضار باسم Baidu، كل ما يحتاجه مجرمو الإنترنت هو البحث عن الصفحة (وهذا أمر بسيط للغاية إذا قمت بإدخال العنوان الدقيق)، ونسخ الرابط ولصقه في البريد الإلكتروني للتصيد الاحتيالي.

https://www.baidu.com/link?url=vukOBuG2XyoQemvCQbKuBASjyO_Bbnajh-Y2tfpVUdS&wd=&eqid=d89f5f0b0008c16800000006650d73cf
وبشكل عام، لا نعرف عدد الخدمات الأخرى الموجودة التي يمكنها إعادة توجيه عناوين URL أو حتى تخزين الصفحات من جانبها (سواء كان ذلك لاحتياجاتها الخاصة أو باسم راحة تسليم المحتوى).

الممارسات العملية
بغض النظر عن مدى ثقة موظفيك، فإننا نشك في قدرتهم على فهم ما إذا كان الارتباط خطيرًا أم لا. لذلك نوصي بدعمها بحلول وقائية. علاوة على ذلك، نوصي باستخدام مثل هذه الحلول على مستوى خادم بريد الشركة وعلى مستوى أجهزة العمل التي تدعم الإنترنت .