نوع جديد من هجمات الإصطياد

كشف أحد موظّفي موزيلّا عن نوع جديد من هجمات الاصطياد والتي تستهدف جميع المتصفحات، على نظامي التشغيل ويندوز وماك. يقوم هذا الهجوم والذي سمّي ب”غلفة التبويب”* أو “tabnapping”، على فرضيّة أن المستخدمين يتصفحون الانترنت ولديهم أكثر من تبويب مفتوح في نفس الوقت. حيث يقوم المهاجم بتضليل المستخدم وجعله يقوم بزيارة صفحة مشبوهة أو موقع مخترق، ومن ثم يقوم بالخفاء بتغيير محتويات الصفحة والعنوان لتبويب مفتوح ولكن غير فعّال (مفتوح ومتروك لفترة طويلة) من أجل سرقة معلومات شخصية ككلمات المرور، سواء لمواقع بنكيّة أو صفحات اجتماعيّة…إلخ.

كيف يعمل هذا الهجوم؟

1- المستخدم يقوم بتصفح موقع ما. (الموقع المشبوه)
2- يتم الكشف عن متى فقدت الصفحة انتباه المستخدم. (مثل ان يفتح المستخدم بريده الالكتروني، وبعد ذلك يفتح صفحة أخرى ولا يعود الى تبويب بريده لعدّة ساعات أو حتى أيام).
3- يتمّ تغيير ايقونة الموقع الى ايقونة gmail مثلاً، وعنوان الصفحة إلى “Gmail: Email from Google”، ومحتويات الصفحة بمحتويات مشابهة لصفحة gmail. كل هذا يمكن تنفيذه من خلال كود جافا سكريبت بشكل فوري.
4- يحاول المستخدم الذهاب الى بريده الالكتروني عبر البحث في سلسلة التبويبات المفتوحة. ونظراً لأنّه عقلياً مرتبط بالأيقونة فعلى الأغلب سيعتقد أنّ قد ترك تبويب بريده الالكتروني مفتوحاً. وسيرى أنّه يطلب منه كلمة مرور، وهذا الاجراء متوقع نظراً لتركه تصفح بريده لفترة. يقوم المستخدم بعد فتح التبويب المزيّف بكتابة اسم المستخدم وكلمة المرور الخاصّة بحسابه.
5- بعد أن يقوم المستخدم بإدخال معلومات حسابه، يتم ارسال هذه المعلومات الى خادم المهاجم، وبعدها يتم إعادة توجيه المستخدم إلى صفحة gmail الأصليّة.
6- كون المستخدم لم يقم بتسجيل خروج فسيظهر الأمر وكأنّ تسجيله للدخول تمّ بنجاح.

وهذا فيديو يظهر كيف يعمل هذا الهجوم

[vimeo 12003099]

نبذة عن الكاتب

بشار ماجستير نظم معلومات. مهندس أنظمة يمتلك خبرة في إدارة أنظمة ويندوز ولينكس. باحث ومختصص في مجال أنظمة المعلومات، معالجة الحوادث الأمنيّة، تحليل الإختراقات الأمنيّة، وفحصوصات الاختراق. حاصل على العديد من الشهادات الأمنيّة. عضو في مجلس استشاريّي معهد سانز لأمن المعلومات.

التعليقات:

أضف تعليقاً | عدد التعليقات: (13)

  1. يقول x3d3:

    from were can i have the java code ?

  2. يقول KING SABRI:

    عودا أحمدا بشار

    بصراحة شيئ فعلا لا يخطر على البال ,, عامة قمت بعمل تحذير في الشركة و سأحاول تعميم إضافة منع الجافا سكريبت 🙁

    مبدع أبو حامد (F)

    تحياتي واحترامي

  3. يقول Xpl0i7 c0d3:

    I need that Java Script please
    interesting post BTW 😀

  4. يقول Ghost Hacker:

    طريقة تصيد من الطراز الرفيع ..
    خصوصاً للأشخاص الذين لاينتبهون لصندوق العنوان URL في المتصفح ..

  5. يقول sig:

    ملاحظة: لن ينفع هذا النوع من الهجوم على بعض المواقع التي تستخدم صور يحددها المستخدم (مثل yahoo)
    ايضا، ارجوا عدم تسهيل الحصول على مخطوطة هذا النوع من الهجوم لما في ذلك من نشر الضرر. (على الرغم من سهولة كتابتها من الصفر).

  6. […] المصدر (ملاحظة: يمكنك تجربة هذا الهجوم شخصياً عند زيارة المصدر) […]

  7. يقول GeeKZ:

    السلام عليكم فعلا تفكير ذكي جدا تسلم على الخبر

  8. […] This post was mentioned on Twitter by Tareq doufish, Security 4 Arabs. Security 4 Arabs said: نوع جديد من هجمات الإصطياد http://bit.ly/cW7pTl […]

  9. يقول hack3d.org:

    بالفعل قرات عن الخبر

    http://www.azarask.in/blog/post/a-new-type-of-phishing-attack/

    لكن حاول اعملها عدت مرات لم تفلح معي

    ان لم يكن هناك مانع اتمنى ارسال الاكواد ولك كل الشكر

  10. يقول أيمن العوادي:

    طريقة ذكية ومبتكرة جداً…….لكنها والحمد لله لم تنجح مع AVG حيث قام بكشف ملف الجافا فور دخولي للصفحة ومنعه من العمل Exploit Tabnabbing Type 349

  11. يقول أيمن العوادي:

    انصح بازالة ملف الجافا من هذه الصفحة كي لا يؤشر الموقع بانه موزع للبرمجيات الخبيثة من قبل مضادات الفيروسات او محركات البحث….دمتم بود

أكتب تعليق