لا يكون عادةً هجوم التصيد الإلكتروني أكثر خطورة بالنسبة للمستخدمين المتقدمين ، الذين يعرفون كيفية التمييز بين الصفحات المزيفة والحقيقية عندما يتعلق بتهديدات الإنترنت من هذا النوع . ومع ذلك ، هناك هجمات أكثر تعقيدا وتعقيدا ، وآخرها طريقة جديدة تستفيد من نافذة "تسجيل الدخول باستخدام الفيسبوك" ، ولكن كيف يتم ذلك؟
قال Antoine Vincent Jebara ، وهو الشريك المؤسس والرئيس التنفيذي لبرنامج إدارة كلمات المرور Myki ، لموقع The Hacker News أن فريقه قد اكتشف مؤخرًا طريقة هجوم متقدمة تعتمد على التصيد الاحتيالي يمكن اختراق بها حتى أكثر المستخدمين تقدما ويقظة.
وجد Antoine Vincent Jebara أن الهاكر يمكنهم أن يوزعون روابط إلى المدونات والخدمات التي تدفع الزائرين إلى "تسجيل الدخول باستخدام حساب فيسبوك" في المواقع أو لقراءة مقالة حصرية أو شراء منتج أو التعليق وغيرها...
يعد تسجيل الدخول باستخدام الفيسبوك أو أي خدمة شبكات اجتماعية أخرى طريقة آمنة ويستخدمها عدد كبير من مواقع الويب لتسهيل زيارة الزائرين لخدمة تابعة لجهة خارجية بسرعة عوض الإضطرار إلى تسجيل الحساب الذي يأخد وقت طويل.
بشكل عام ، عند النقر فوق زر "تسجيل الدخول باستخدام فيسبوك" المتاح على أي موقع ويب ، إما أن تتم إعادة توجيهك إلى facebook.com أو يتم تقديمه مع facebook.com في نافذة مستعرض منبثقة جديدة ، يطلب منك إدخال بيانات اعتمادك على الفيسبوك للمصادقة باستخدام OAuth والسماح للخدمة بالوصول إلى المعلومات اللازمة لملفك الشخصي.
ومع ذلك ، اكتشف Antoine Vincent أن المدونات والخدمات عبر الإنترنت يمكن أن تظهر للمستخدمين رسالة وهمية للدخول إلى فيسبوك تبدو واقعية للغاية بعد أن ينقروا على زر تسجيل الدخول الذي تم تصميمه لاستيعاب بيانات اعتماد المستخدمين المدخلة ، تمامًا مثل أي موقع تصيد.
كما هو موضح في عرض الفيديو الذي شاركه "فينسنت" مع موقع The Hacker News ، نافذة تسجيل الدخول المنبثقة المزيفة التي تم إنشاؤها فعليًا باستخدام HTML و JavaScript تبدو بشكل مثالي ليشعر المستخدم تمامًا كنافذة متصفح مشروعة بعنوان URL إلى موقع فيسبوك حقيقي مزود بلوحة قفل خضراء تشير إلى HTTPS صالح ، وعند تسجل الدخول يتم اختراق حساب الضحية.
الخطير في هذه الطريقة أنه لا يمكن الكشف عن هذا النوع من هجمات التصيد الاحتيالي ، ولا حتى بالنسبة إلى المستخدمين الأكثر تقدمًا. لذلك ، لتجنب هذه المخاطر وغيرها من المخاطر المماثلة ، فإن الشيء الوحيد الذي يمكننا فعله كمستخدمين وضحايا محتملين هو تفعيل المصادقة لحسابك حتى تمنع الدخول إلى حسابك إلى تتسلم رسالة على هاتفك.
قال Antoine Vincent Jebara ، وهو الشريك المؤسس والرئيس التنفيذي لبرنامج إدارة كلمات المرور Myki ، لموقع The Hacker News أن فريقه قد اكتشف مؤخرًا طريقة هجوم متقدمة تعتمد على التصيد الاحتيالي يمكن اختراق بها حتى أكثر المستخدمين تقدما ويقظة.
وجد Antoine Vincent Jebara أن الهاكر يمكنهم أن يوزعون روابط إلى المدونات والخدمات التي تدفع الزائرين إلى "تسجيل الدخول باستخدام حساب فيسبوك" في المواقع أو لقراءة مقالة حصرية أو شراء منتج أو التعليق وغيرها...
يعد تسجيل الدخول باستخدام الفيسبوك أو أي خدمة شبكات اجتماعية أخرى طريقة آمنة ويستخدمها عدد كبير من مواقع الويب لتسهيل زيارة الزائرين لخدمة تابعة لجهة خارجية بسرعة عوض الإضطرار إلى تسجيل الحساب الذي يأخد وقت طويل.
بشكل عام ، عند النقر فوق زر "تسجيل الدخول باستخدام فيسبوك" المتاح على أي موقع ويب ، إما أن تتم إعادة توجيهك إلى facebook.com أو يتم تقديمه مع facebook.com في نافذة مستعرض منبثقة جديدة ، يطلب منك إدخال بيانات اعتمادك على الفيسبوك للمصادقة باستخدام OAuth والسماح للخدمة بالوصول إلى المعلومات اللازمة لملفك الشخصي.
ومع ذلك ، اكتشف Antoine Vincent أن المدونات والخدمات عبر الإنترنت يمكن أن تظهر للمستخدمين رسالة وهمية للدخول إلى فيسبوك تبدو واقعية للغاية بعد أن ينقروا على زر تسجيل الدخول الذي تم تصميمه لاستيعاب بيانات اعتماد المستخدمين المدخلة ، تمامًا مثل أي موقع تصيد.
كما هو موضح في عرض الفيديو الذي شاركه "فينسنت" مع موقع The Hacker News ، نافذة تسجيل الدخول المنبثقة المزيفة التي تم إنشاؤها فعليًا باستخدام HTML و JavaScript تبدو بشكل مثالي ليشعر المستخدم تمامًا كنافذة متصفح مشروعة بعنوان URL إلى موقع فيسبوك حقيقي مزود بلوحة قفل خضراء تشير إلى HTTPS صالح ، وعند تسجل الدخول يتم اختراق حساب الضحية.
الخطير في هذه الطريقة أنه لا يمكن الكشف عن هذا النوع من هجمات التصيد الاحتيالي ، ولا حتى بالنسبة إلى المستخدمين الأكثر تقدمًا. لذلك ، لتجنب هذه المخاطر وغيرها من المخاطر المماثلة ، فإن الشيء الوحيد الذي يمكننا فعله كمستخدمين وضحايا محتملين هو تفعيل المصادقة لحسابك حتى تمنع الدخول إلى حسابك إلى تتسلم رسالة على هاتفك.
ليست هناك تعليقات:
إرسال تعليق