الأحد، مارس 07، 2010

تابع التصيد الإلكتلرونى

 الأسلوب الأول: تسميم خادم أسماء النطاقات (DNS poisoning)
يعتبر نظام أسماء النطاقات أحد المكونات الأساسية للشبكة العالمية، ويتكون من عدة خوادم لأسماء النطاقات تعمل بشكل متكامل مع بعضها البعض. أهم خدمات هذا النظام هو الربط بين أسماء النطاقات وعناوينها العشرية، حيث لابد من م رفة العنوان العشري للخادم المراد التخاطب معه، أي بالإمكان اعتباره كدليل الهاتف بالنسبة للشبكة العالمية. وبيانات الربط هذه تكون موجودة ومتوفرة للاستعلام في أحد خوادم أسماء النطاقات.
التلاعب بالسجلات يكون بتغيير العناوين العشرية بحيث تشير إلى مواقع مزيفة. فإذا كان خادم الاستعلام مسمما وتم التلاعب بالسجل الذي يحمل العنوان العشري فبدلا من أن يرجع خادم أسماء النطاقات العنوان العشري الصحيح لإسم النطاق فإنه سيرجع عنوانا عشريا مختلفا يشير إلى موقع مزور.
ينطبق على أسماء النطاقات الأخرى ومن ضمنها أسماء النطاقات للمصارف وغيرها من المواقع التي تتطلب تزويد بيانات شخصية حساسة وسرية.
لنفرض أن اسم النطاق للمصرف "س" هو (xyzbank.com)، وأن العنوان العشري الصحيح للمصرف "س" المقابل لإسم النطاق (xyzbank.com) هو (88.33.22.11)، فعند كتابة شخص ما اسم النطاق لذلك المصرف في متصفح الشبكة العالمية (Internet Browser) سيقوم جهاز الشخص ألا وهو العميل ممثلا ببرنامج المتصفح بالإستعلام عن العنوان العشري للمصرف "س" وذلك بإرسال طلب الإستعلام إلى خادم أسماء النطاقات، فإذا صادف وكان ذلك الخادم مسمما فإنه سيرد بعنوان عشري مزور وليكن (92.45.67.89) والذي يشير إلى موقع مزيف مستنسخ من الموقع الأصلي للمصرف "س" والذي لن يشعر به الضحية أبدا حيث أن اسم نطاق المصرف هو الذي كتبه بنفسه ومتأكد منه ليس كما رأينا في الأمثلة السابقة من التلاعب في العنوان من حيث جعلها مشابهة إلى حد كبير إلى العنوان الصحيح.
Pharming) أي الزرعة الخبيثة. طريقة هذا الأسلوب أن يقوم المخرب (hacker) بالهجوم على خادم أسماء النطاقات (Domain Name Server – DNS) والتلاعب بالسجلات.
الأسلوب الثاني: تسميم ملف الخوادم (Hosts File Poisoning)
هذا الأسلوب من أساليب الاصطياد مشابه إلى حد ما لأسلوب تسميم خادم أسماء النطاقات. في هذا الأسلوب يقوم المخربون (
ملف الخوادم يربط بين أسماء النطاقات وعناوينها العشرية كخادم أسماء النطاقات إلا أن ملف الخوادم يمكن التحكم به محليا (locally) من قبل جهاز المستخدم.
عند طلب موقع ما، فإن جهاز العميل يقوم أولا بالبحث عن العنوان العشري لإسم الخادم في ملفات الخوادم قبل الاستعلام عن العنوان العشري من خادم أسماء النطاقات.
أيضا في أسلوب تسميم ملف الخوادم حيث يقوم المخربون بالشيء نفسه بتسميم ملف الخوادم في جهاز الضحية وذلك بوضع سجل جديد لربط إسم نطاق معين بعنوان عشري لموقع مزيف.
الأسلوب الثالث: الاصطياد بواسطة حقن المحتوى (Content Injection)
في هذا الأسلوب يقوم الصيادون بإضافة أو حقن محتوى خبيث (
-إعادة توجيه زائر الموقع الصحيح إلى مواقع أخرى.
-تنصيب برامج خبيثة (malware) في جهاز زائر الموقع.
-إعادة توجيه البيانات المدخلة في الموقع إلى خادم الاصطياد.
هناك ثلاثة أنواع أساسية للاصطياد بواسطة حقن المحتوى:
- استغلال ثغرة أمنية في خادم الشبكة العالمية، فيقوم المخربون (hackers) بإستبدال المحتوى الأصلى (legitimate content) بمحتوى خبيث (malicious content).
- استغلال ثغرة أمنية في خادم الشبكة العالمية والتي تسمح للمخربيين (hackers) بحقن أكواد برمجية خبيثة في هذه الخوادم. تعرف هذه الثغرة بـ (cross-site script – XSS) وهي خلل برمجي (programming flaw) ينتج من م توى مضاف من قبل مصدر خارجي، على سبيل المثال، تعليقات الزوار في المدونات (blogs)، أو تقييم الزوار لمنتج ما (user review)، أو رسالة في مجالس النقاشات (discussion boards)، أو كلمات بحث في محركات البحث، أو رسالة واردة في البريد الإلكتروني المعتمد على الشبكة العالمية (web-based E-Mail).
مثل هذا المحتوى المضاف من قبل مصادر خارجية كما في الأمثلة السابقة قد يكون محتوى على شكل أكواد برمجية خبيثة لم يتم تصفيتها كما هو مفروض من قبل الخوادم المستضيفة لمثل هذه المواقع التي تقبل اضافات من قبل الزوار مما ينتج عن عمل هذه الأكواد الخبيثة على متصفح الضحايا عند عرض صفحة الموقع.
من الأمثلة الواقعية على هذا النوع ماورد في أخبار (CNET News.com)[1] عندما قام موقع "PayPal"[2] الشهير بالإعلان عن تصحيح ثغرة أمنية في موقعهم الإلكتروني على الشبكة العالمية، حيث تم حقن موقع خبيث في موقعهم يؤدي إلى إعادة توجيه الضحية عند طلب صفحة إدخال بيانات البطاقة الإئتمانية إلى موقع مزيف.
النوع الثالث من أنواع الاصطياد بواسطة حقن المحتوى هو استغلال ثغرة أمنية في الموقع وتسمى ثغرة الحقن عن طريق لغة الاستعلام المركبة (SQL injection vulnerability). في هذه الطريقة يتم تنفيذ أمر في قاعدة البيانات (database command) في الخادم المستضيف للموقع والذي قد ينتج عنه تسريب في قاعدة البيانات.
الحقن عن طريق لغة الاستعلام المركبة مثلها كمثل حقن الأكواد البرمجية الخبيثة (cross-site script – XSS) هما نتيجة لإهمال تصفيتها كما هو مفروض من قبل الخوادم المستضيفة لمثل هذه المواقع التي تقبل اضافات.
أحد الأمثلةالواقعية لأسلوب الاصطياد بواسطة الحقن عن طريق لغة الاستعلام المركبة هو ماحدث لموقع شركة الأغذية العالمية "كنور" (knorr.com) عندما استطاع أحد زوار الموقع تخطي حاجز تصديق الدخول (login authentication) عن طريق استغلال ثغرة أمنية في الموقع سمحت بالحقن بواسطة لغة الاستعلام المركبة. ببساطة كان استغلال الثغرة الأمنية هذه بإضافة فاصلة منقوطة ";"، والفاصلة المنقوطة في لغة الاستعلام المركبة تترجم إلى أن مايأتي بعدها تعليق لا أهمية له في التنفيذ، فهو مقصود فقط لغرض التوضيح لا أكثر. ويكفي أن يضع المخترق عبارة منطقية صحيحة (true logical expression) قبل الفاصلة المنقوطة في الاستعلام لتكون نتيجة الاستعلام صحيحة، على سبيل المثال وضع العبارة المنطقية (or ‘x’=’x’) في حقل كل من إسم المستخدم والرمز السري كفيل في تلك الحالة لتخطي حاجز التصديق.
الأسلوب الرابع: هجمة الرجل في الوسط (Man-in-the-Middle Attack – MITM)في هذا الأسلوب يقوم الصياد بالتدخل وانتحال شخصية كل من الطرفين خلال عملية الاتصال الآني على الشبكة العالمية بين المستخدم والموقع الحالة الصحيحة هو أن يتم التراسل بين العميل والخادم مباشرة بدون أي وسيط مجهول لكلا الطرفين
يتم التدخل من قبل الصياد عن طريق إنشاء اتصال منفصل لكل من المستخدم والموقع المراد الاتصال به من قبل المستخدم، بحيث يكون الصياد في المنتصف بين المستخدم والموقع، بالتالي البيانات الصادرة من المستخدم إلى الموقع في عملية الاتصال الآني يتمكن الصياد من استقبالها ومن ثم التلاعب بها وإعادة إرسالها مرة أخرى إلى الموقع والذي لازال يظن أن البيانات الواردة إليه قادمة من المستخدم، وكما في حالة الإرسال كذلك في حالة الرد فإن الصياد أيضا يقوم باستقبالها ومن ثم إعادة إرسالها إلى المستخدم
في هذا الأسلوب يظهر أن الاتصال يتم بين طرفين ألا وهما جهاز المستخدم (أو العميل) وجهاز الموقع (أو الخادم)، لكن في الحقيقة هم يتراسلون البيانات عبر جهاز آخر وسيط والذي يعرف بـ"الرجل في الوسط" (Man-in-the-Middle).
فعالية هجمة الرجل في الوسط قد تكون خلال عملية التراسل بين المستخدم والموقع، أو بعد عملية التراسل.
فاعلية الهجمة خلال عملية التراسل، وتسمى بـ"الهجوم النشط" (Active Attack)، تكون بتغيير المحتوى (content) خلال تدفق البيانات بين المستخدم والموقع، فعلى سبيل المثال في حالة التراسل بين مصرف وعميله لغرض التحويل المالي بين الحسابات، في هذه الحالة قد يغير الصياد المخترق رقم الحساب لتحويل الأموال إليه (مثلا إلى الحساب رقم 4444) بدلا من الحساب المحدد من قبل العميل (مثلا الحساب رقم 2222)، في حين أن المصرف يظن أنه يتواصل مع العميل بينما في الواقع يتراسل مع الرجل في الوسط فيقبل المصرف الطلب وينفذ التحويل المالي إلى الحساب المحدد من قبل الصياد.
الفاعلية بعد عملية التراسل، وتسمى بـ"الهجوم اللاحق" (Passive Attack)، تكون بعد تمكن الصياد من التقاط البيانات السرية كإسم المستخدم والرمز السّري في حال إرسالها من قبل المستخدم إلى الموقع، واستخدامها لاحقا في انتحال شخصية المستخدم.
إحدى الطرق لتطبيق هجمة الرجل في الوسط هي تسميم خادم أسماء النطاقات (DNS Poisoning) عن طريق التلاعب بالسجلات بتغيير العناوين العشرية بحيث تشير إلى مواقع مزيفة. كمثال طلب الاستعلام عن العنوان العشري للمصرف "س"، فإذا كان خادم الاستعلام مسمما وتم التلاعب بالسجل الذي يحمل العنوان العشري لذلك المصرف، فبدلا من أن يرجع خادم أسماء النطاقات العنوان العشري الصحيح لإسم نطاق المصرف "س"، فإنه سيرجع عنوانا عشريا مختلفا يشير إلى موقع مزور عن الموقع الأصلي للمصرف "س".
هذا الموقع المزيف يقع تحت السيطرة الكاملة من قبل الصياد فعندما يزود عميل المصرف (الضحية) للموقع المزيف بإسم المستخدم والرمز السري وذلك للدخول إلى حسابه، يصبح الصياد قد تمكن من م رفة هذه البيانات السرية ومن ثم يقوم الصياد بالتخاطب مع الموقع الأصلي للمصرف "س" منتحلا بذلك شخصية العميل الضحية.
الأسلوب الخامس: تشويش العنوان (Address Obfuscation)
في هذا الأسلوب يقوم الصيادون بتزييف موقع ما ووضعه تحت اسم نطاق مشابه إلى اسم النطاق للموقع الأصلى.
يعمد الصيادون في هذا الأسلوب بأن يكون إسم النطاق للموقع المزيف قريب من اسم النطاق الصحيح بحيث يصعب على الضحية اكتشافه من الوهلة الأولى.
وهناك اختيار آخر لإسم النطاق للموقع المزيف وهو أن يكون بمسمى يوحي ويعطي انطباع إلى شرعية الموقع
وكمثال لإسم نطاق لموقع مزيف شبيه لإسم النطاق للموقع الأصلي هو مثال مصرف "ساب" السابق ذكره، حيث وضع الصياد امتداد بسيط لإسم النطاق الصحيح ليصبح (sabb.net.ms) المشابه لإسم النطاق للموقع الأصلي (sabb.com) ونرى أيضا أن الموقع المزور صمم ليطابق الموقع الأصلي من حيث النمط والشعار والنظر والإحساس.
وأيضا كما في مثال مصرف "سامبا" السابق ذكره اختار الصياد في تلك الحادثة الإسم للموقع المزيف بحيث يوحي ويعطي انطباع إلى شرعية الموقع، ألا وهو (sambaonlineaccess.com) نجد في اسم النطاق هذا ذكر لإسم المصرف وذكر لكلمة (onlineaccess) والتي تعني الاتصال الآني ممايوحي ويعطي انطباع إلى شرعية الموقع، بينما اسم النطاق الصحيح لمصرف "سامبا" هو (sambaonline.com). ونرى أيضا أن الموقع المزور صمم ليطابق الموقع الأصلي من حيث النمط والشعار والنظر والإحساس.
الأسلوب السادس: الاصطياد عن طريق البرامج الخبيثة (Malware Attack)في هذا الأسلوب جميع عمليات المستخدم (الضحية) من خلال متصفح الشبكة العالمية تصبح مكشوفة للصيادين. سبب هذا الكشف يعود إلى البرامج الخبيثة (malware) المزروعة في جهاز المستخدم.
تسمح هذه البرامج الخبيثة للصيادبن بمراقبة جميع العمليات المنفذة من خلال متصفح الشبكة العالمية من قبل المستخدم )الضحية(. فعلى سبيل المثال عند اتصال المستخدم بالموقع الإلكتروني لمصرف ما، وعند تزويد المستخدم لإسم المستخدم والرمز السري للدخول على حسابه المصرفي، ففي حالة وجود مثل هذه البرامج في جهاز الضحية فسيتم إلتقاط هذه البيانات السرية وإرسالها إلى الصياد والذي بدوره سينتحل شخصية المستخدم في التعامل مع الموقع الإلكتروني للمصرف والذي سيتعامل مع الصياد على أنه العميل الحقيقي.
أحدى الطرق المشهورة لهذا الأسلوب هو تركيب مسجل نقرات لوحة المفاتيح (Keystroke Logger) في جهاز الضحية. والذي من اسمه يقوم بتسجيل النقرات على لوحة المقاتيح ومن ثم يقوم بإرسالها إلى الصياد، والذي بدوره يقوم بتحليلها واستخلاص البيانات لانتحال شخصية الضحية.
الأسلوب السابع: الاصطياد عن طريق محركات البحث (Search Engine Phishing)طريقة أخرى للاصطياد وهي إنشاء مواقع إلكترونية للبيع بالتجزئة (Retail) على الشبكة العالمية لمنتجات وهمية. الغرض من هذه المواقع هو لخداع الباحثين عن منتجات معينة على الشبكة العالمية للشراء.
يتم إدخال هذه المواقع للفهرسة في محركات البحث على الشبكة العالمية، ويتم تعبئة أيضا مثل هذه المواقع بمنتجات مختلفة وبأسعار منافسة للسوق لجذب الباحثين عن مثل هذه المنتجات.
عند بحث شخص ما لمنتج معين عن طريق إحدى محركات البحث التي تم فيها فهرسة مواقع بيع بالتجزئة غرضها الاصطياد، فإن ذلك الموقع سيعرض كنتيجة للبحث إذا كان يوجد عنده المنتج المطلوب.
عند زيارة المستخدمين لمثل هذه المواقع لشراء منتج معين وكجزء من اتمام عملية الشراء فإنه يطلب منه تعبئة نموذج إلكتروني ببيانات سرية وذلك إما لإنشاء حساب في ذلك الموقع أو للتحويل المالي، فيقع المشتري ضحية لذلك الموقع بإفشائه بياناته السرية والتي قد تستخدم لاحقا في انتحال شخصيته.
الأسلوب الثامن: الاصطياد عن طريق النوافذ المنبثقة (The Popup Attack)
يعد هذا الأسلوب من الأساليب النادرة الحدوث وذلك مع وجود موانع النوافذ المنبثقة (Popup Blocker) بشكل أساسي في معظم متصفحات الشبكة العالمية، ولذا فقد قلّت معدلات نجاح هذا الأسلوب في الآونة الأخيرة. إلا أن هذا الأسلوب كان فعال إلى حد ما قبل وجود مثل هذه الموانع في المتصفحات.
الطريقة التقليدية لهذا الأسلوب هي نافذة مصغرة تنبثق أمام نافذة مكبرة لموقع صحيح، كموقع لمصرف، وفي هذه النافذة المنبثقة يوجد نموذج يطلب من المستخدم تعبئته ببيانات سرية كإسم المستخدم وكلمة المرور وذلك كالتحقق من العنوان البريدي أو غير ذلك من الأسباب ممايعطي سبب منطقي للمستخدم لتعبئة النموذج.
الهدف من النافذة المكبرة خلف النافذة المنبثقة هو لإعطاء المستخدم، أو عميل المصرف الضحية شعور بشرعية الطلب، وذلك في حال صادف كونه عميل لذلك المصرف.
الأسلوب التاسع: مستطيل العنوان المزيف (Fake Address Bar)يعتبر هذا الأسلوب من أخطر أساليب الاصطياد، حيث يتم استبدال مستطيل العنوان في الجزء الأعلى من نافذة متصفح الشبكة العالمية (web browser) بآخر مزيف. هذا الأسلوب يمكن الصياد من عرض صفحة إلكترونية مزيفة بالكامل بينما تبدو لزائر الصفحة على أنها صحيحة. يتم تنفيذ هذا الأسلوب بإستخدام تقنيات مختلفة مثل "جافا سكربت" (Java Script) و "جافا أبليت" (Java Applet).
بالإمكان إخفاء مستطيل العنوان في متصفح الشبكة العالمية، بإعدادات محددة من قبل صفحة الموقع الإلكتروني، ويتم ذلك بإضافة رموز "جافا سكربت" لهذا الغرض، وتحديدا استخدام الوظيفة (function) "window.open" وتحديد العنصر "location" بالقيمة "no"يطبق هذا الأسلوب عند تحويل المستخدم، على سبيل المثال عن طريق رابط في رسالة بريد إلكتروني إلى الموقع المزيف، ومباشرة يتعرف الموقع على نوع المتصفح المستخدم من قبل الزائر ومن ثم إخفاء مستطيل العنوان الحقيقي في المتصفح واستبداله بآخر مزيف وذلك بإستخدام كما ذكرنا تقنيات مختلفة مثل "جافا سكربت" (Java Script) أو "جافا أبليت" (Java Applet) أو حتى يمكن وضع صورة (image) لخداع الزائر بوجود مستطيل العنوان.
مثال آخر على أسلوب مستطيل العنوان المزيف هو ماحدث لمصرف "سيتي بانك"(Citibank) الأمريكي. عندما أرسلت رسالة بريد إلكترونية منتحلة لشخصية المصرف وكان عنوان المرسل " support@citibank.com هذا البريد الإلكتروني محمي من المتطفلين و برامج التطفل، تحتاج إلى تفعيل جافا سكريبت لتتمكن من مشاهدته " و العنوان "تحقق من بريدك الإلكتروني مع سيتي بانك"، و الفئة المستهدفة من قبل هذا البريد هم عملاء مصرف "سيتي بانك". يطلب هذا البريد من مستقبله الضغط على الرابط الموجود بالرسالة لإكمال عملية التحقق من عنوان بريده الإلكتروني. عند تتبع الرابط يظهر للزائر نموذج يطلب منه رقم بطاقة الصراف الآلي (ATM/Debit card number) والرمز السري (PIN – Personal Identification Number)، وادعت تلك الرسالة أن الغرض من عملية التحقق هذه هو أن بعض العملاء لم يتصلوا بعناوينهم البريدية وأنه من أجل ذلك لابد من التحقق!!، كما ذكرنا سابقا أن عنوان المرسل في رسالة البريد الإلكتروني لايعكس بالضرورة شخصية المرسل كما في حالة المثال السابق، حيث يمكن التلاعب بحقل المرسل (From) ووضع أي قيمة فيه.
احتوت الرسالة في المثال السابق على رابط في ظاهرة يدل على شرعية الطلب (https://web.da-us.citibank.com/signin/c ... verify.jsp) لإحتوائها الرابط على الكلمة "citibank" وهي إسم المصرف، لكنها في الحقيقة تشير إلى الموقع المزيف (http://69.56.202.82/~citisecu/scripts/E-Mail_verify.htm)، حيث أن لغة الترميز النصي المتشعب (Hypertext Markup Language – HTML) تسمح بعرض الرابط بنص مختلف عن العنوان، وقد تم استغلال هذه الثغرة من قبل الصيادين في خداع الضحايا.
أسلوب آخر لمستطيل العنوان المزيف يسمى "المستطيل النصي الحائم" (hovering text box) وهو وضع مستطيل نصي (Text Field) بخلفية بيضاء في مكان مستطيل العنوان الحقيقي في المتصفح والتي يصعب اكتشافها من الوهلة الأولى.
و إلى اللقاء مع طرق تجنب التصيد الإلكترونى