رفتن به نوشته‌ها

برچسب: فیشینگ

زاغ سیاه سایتتان را چوب بزنید

Screen Shot 2013-03-04 at 21.36.15اگر شما وب‌سایت دارید زمان در دسترس بودن سایتتان برایتان باید بسیار مهم باشد. شما سایتی راه‌اندازی می‌کنید تا کاربرانش از خدمات و محتوای آن بهره ببرند بنابراین اگر سایتتان  در دسترس نباشد به درد لای جرز دیوار هم نمی‌خورد!

اما مشکل پشتیبانی از سرور و در دسترس بودن خدمات پس از فرپش میزبان سایت شما یک طرف، آگاه بودن از اتفاقاتی که برای سایتتان می‌افتد یک طرف دیگر. خیلی از ما ۲۴ ساعته بیدار نیستیم و پای کامپیوترمان ننشسته‌ایم تا هر لحظه سایتمان را بررسی کنیم. برای همین گاهی چند ساعتی می‌گذرد تا ما آگاه شویم که سایتمان به علت مشکلات فنی در دسترس نیست.
آیا مطمئن هستید که وب سایت شما از تمام نقاط جغرافیایی (داخل یا خارج از کشور و در مکان‌های مختلف) قابل مشاهده است؟ آیا مطمئن هستید که کاربران نهایی دقیقاً همان صفحه‌ای را می‌بینند که شما طراحی کرده‌اید و سایت شما هک نشده و یا به خاطر حملات فیشینگ phishing محتوایش تغییر نکرده است؟
از آنجایی که هر چه سنگ است برای پای لنگ است و طبق قانون مورفی سایت‌ها و وبلاگ‌ها همیشه وقتی داون می‌شوند که یک مطلب مهم نوشته‌ایم یا یک سرویس تازه را افتتاح کرده‌ایم، وجود یک ناظر دائمی که زاغ سیاه سایتمان را چوب بزند یکی از نیازهای واجب است.اینجا است که سایت زاغ سیاه خدمات مفیدی ارائه می‌دهد.

زاغ سیاه چه‌طور کار می‌کند؟

ZaghTopology

همان‌طور که در شکل بالا مشاهده می‌کنید زاغ سیاه درست مانند یک کاربر واقعی به سایت شما نگاه می‌کند. بسته به نوع سرویسی که انتخاب کرده‌اید (مثل Ping یا Http Get) زاغ سیاه از چندین محل مختلف (از داخل و خارج از کشور) و به صورت دوره‌ای (مثلاً هر ۲ دقیقه یک‌بار) سایت شما را چک می‌کند و در صورتی که هر مشکلی مشاهده شود شما بلافاصله مطلع می‌شوید.

زاغ سیاه به علت استفاده از چندین نقطه برای مانیتورینگ سایت شما (که البته هر یک نیز در مکان فیزیکی، زیرساخت اینترنتی و حتی در کشورهای دیگر مستقر هستند)، تا حد زیادی به شما اطمینان می‌دهد که مشکلات را بلافاصله بعد از وقوع بیابید.

زاغ سیاه با پیامک مشکلات سایتتان را به شما اطلاع خواهد داد. برای اطلاع از چگونگی استفاده و هزینه‌ها این صفحه را مطالعه کنید.

وب‌سایت‌های مشابه خارجی به تعداد زیاد وجود دارند که شما می‌توانید تعدادی از آنها را اینجا پیدا کنید.

نکته مهم: معرفی این سایت به معنای این نیست که من خدمات این سایت یا امنیت داده‌های آن را تأیید می‌کنم. هدف من معرفی سایت‌ها و خدمات ایرانی است اما از آن چه که در پشت پرده سایت‌ها می‌گذرد بی‌خبرم.

ایمیل ملی و یک نکته فوق‌العاده!

این نوشته درباره ایمیل ملی ایران هست که این روزها هم تبلیغات زیادی درباره‌ش می‌شه هم به نظر میاد که با ایجاد مشکلات برای اتصال برای سرویس‌های چون جی‌میل و یاهو، سعی می‌شه تا کاربران اینترنت رو به سمت استفاده از ایمیل ملی سوق بدند.

این نوشته توضیح می‌ده که این سرویس در واقع یک سرویس Anonymous remailer محسوب می‌شه. البته برای یک نفر که حرفه‌ای باشه امکانش هست که با استفاده از کنترل هد ایمیل دریافتی، ایمیل جعلی رو تشخیص بده اما برای همه این ممکن نیست و به اشتباه می‌افتند.

نویسنده میهمان: آرمین

خب اول از همه همونطور که قبلا هم به کرات گفتم من ایمیل ملی رو دوست دارم! و حتی باعث افتخاره که آدرس ایمیلم «ات ایران . آی‌آر» هست. مشکل اینجاست که ای کاش بهتر اجرا می‌شد. ای کاش جوری بود که واقعا ترغیب می‌کرد که ازش استفاده کنیم. بگذریم٬ بحث الانم اینها نیست!
امروز به یه نکته خیلی جالب توی ایمیل ملی برخورد کردم. ایمیل ملی ات ایران٬ به شما این امکان رو می‌ده که از هر اسم و آدرس ایمیلی که دوست دارید ایمیل بفرستید و لزومی نداره که این ایمیل متعلق به خودتون باشه!
خب این یعنی چی؟ یعنی مثلاً من می‌تونم با آدرس ایمیل دوستم یا استادم یا هرکسی که بخوام برای هر کس دیگه ای ایمیل ارسال کنم بدون اینکه خودش متوجه بشه!
برای مثال عکس‌هایی که اینجا هست رو ببینید. توی عکس اول من در ایمیل ملی یه شناسه دلخواه اضافه کردم (بدون نیاز به هیچگونه تأیید)!

چگونه یک تلفن همراه دچار فیشینگ می‌شود؟

فیشینگ یا سرقت آنلاین در عمل به صورت کپی دقیق رابط گرافیکی یک وب‌گاه معتبر مانند بانک‌های آنلاین انجام می‌شود. ابتدا کاربر از طریق ایمیل و یا آگهی‌های تبلیغاتی سایت‌های دیگر، به این صفحه قلابی راهنمایی می‌شود. سپس از کاربر درخواست می‌شود تا اطلاعاتی را که می‌تواند مانند اطلاعات کارت اعتباری مهم و حساس باشد، آنجا وارد کند.

در صورت گمراه شدن کاربر و وارد کردن اطلاعات خود، فیشرها به اطلاعات شخص دسترسی می‌یابند. از جمله سایت‌های هدف این کار می‌توان سایت‌های eBay، PayPal، و بانک‌های آنلاین را نام برد. (متن کامل در ویکی‌پدیا)

شخصاً با این صفحات بارها برخورد کرده‌ام. بسیاری از فرستندگان این صفحات، با روش‌های مهندسی اجتماعی سعی دارند تا قربانیان خود را به دام بیندازند. برای مثال اگر شما به موسیقی علاقمند باشید، ممکن است ایمیلی دریافت کنید که شما را به سایت جعلی شبیه به آیتیونز هدایت کند که پیشنهاد خرید آخرین آلبوم خواننده محبوبتان را به نصف قیمت می‌دهد. با این روش شما ممکن است گذرواژه خود را به راحتی لو بدهید.

اما این روزها گوشی‌های هوشمند هدف بزرگی برای حملات فیشینگ هستند. اینفوگرافیک زیر اطلاعات زیادی در این مورد ارائه می‌دهد که کاری است از سایت ویژوالی که توسط سایت اینفوگرافیک به طور اختصاصی برای عصیان به فارسی برگردانده شده است. برای مشاهده در اندازه بزرگ‌تر روی عکس کلیک کنید.

هشدار برای تروجانی به نام «فال حافظ»

اصلاً دوست ندارم که فضای آنلاین رو بیش از اون چیزی که هست امنیتی نشون بدم. اما واقعیت اینه که آقایون قصد دارند با هر ترفندی که شده به حریم خصوصی برخی تجاوز کنند. بلکه بتونن اطلاعات بیشتری از زندگی خصوصی شما و دوستانتون به دست بیارن.

حتماْ یادتون هست که چند وقت پیش اشاره‌ای کردم به تروجانی به نام «اسید» که با سوءاستفاده از خبر مربوط به اسیدپاشی تلاش داشت تا ایمیل‌هایی رو هک کنه و حتی تونست به ایمیل یکی از دوستانم هم نفوذ کنه. در نوشته‌ای دیگر جزئیات این تروجان رو در این وبلاگ منتشر کردم.

به هر حال نویسنده یا نویسندگان این تروجان هر که باشند، از قرار معلوم همچنان تلاش می‌کنند تا از راه و روش‌های مشابه این کار رو تکرار کنند. ۲۸ ژوئن ایمیلی دریافت کردم که حاوی فایلی به نام roz shoma.rar و به حجم ۴۴۹ کیلوبایت بود. این عمل توسط همون فرستنده اما با یک نام دیگه به اسم ساناز در ۲۶ جولای و در قالب فایل دیگری به نام fale hafez.rar و به حجم ۴۸۰۷ کیلوبایت برایم ارسال شد در حالی که حاوی این پیام بود:

هشدار: مراقب این سایت ایرانی باشید

این روزها فیس‌بوک به شدت مورد توجه هکرها، اسکمر‌ها و کسانی هست که به هر علتی علاقمندند اطلاعات شخصی شما را به دست بیاورند.

اخیراً سایتی روی اینترنت مشاهده شده به نام online-ads.ir که وقتی واردش می‌شوید، لینکی در پایین صفحه می‌بینید با عنوان Continue with Facebook Advertising که از شما تقاضا می‌کند از راه فیس‌بوک وارد سایت شوید.

من نمی‌دونم این سایت کجاها تبلیغ داده اما از ظاهر امر این طور بر میادکه این سایت با طراحی و ظاهر شیک خودش از کاربرانش می‌خواد که از طریقشون در فیس‌بوک آگهی بدن. احتمالاً با وعده آگهی رایگان یا چیزی مشابه اون.

اجازه بدید قبل از این که این مسأله رو بیشتر باز کنم، این رو بگم که فیس‌بوک این امکان رو به توسعه‌دهندگان وب می‌ده که وب‌سایت‌های خودشون رو طوری طراحی کنن که کاربرانشون با شناسه فیس‌بوکشون وارد سایتشون بشن. رد و بدل اطلاعات بین این سایت و فیس‌بوک باید از راه پروتکل‌های امن انجام بشه.

بررسی تروجان ایرانی اسید

درباره تروجانی که با موضوع اسیدپاشی کامپیوترها رو آلوده کرده بود، چند روز پیش نوشته بودم. حالا دوست عزیزی به نام پارسا شایگان تروجان مورد نظر رو بررسی کرده و نتیجه رو برام فرستاده که اینجا منتشر می‌کنم. نتایج این بررسی‌ها نشون می‌ده که این تروجان به صورت کاملاً حرفه‌ای و برای مقاصد خاص نوشته شده. هدف به طور دقیق مخاطبان و علاقمندان و دنبال‌کنندگان اخبار اجتماعی ایران بوده. در واقع نویسنده قصد داشته تمام گذرواژه‌های این افراد رو بدزده و ازشون سوءاستفاده کنه. اگر علاقمندید که بدونید این تروجان چطور کار می‌کنه این متن رو بخونید:

فایل asid.rar که به ایمیل ضمیمه شده بود، شامل فایلی است به نام asid.exe. این فایل، یک فایل فشرده‌شده است که حاوی دو فایل دیگر به نام‌های زیر است:

winzip.exe

asid.docx

در تصویر پایین می‌بینید که بعد از اجرای فایل asid.exe ابتدا فایل asid.docx اجرا می‌شود که یک فایل متنی است. فایل متنی که احتمالاً از روی وبلاگ‌هایی کپی شده که درباره ماجرای قصاص اسیدپاشی نوشته بودند.

بعد از اجرای این فایل متنی، فایل winzip.exe اجرا می‌شود. این فایل بسته به نوع سیستم‌عامل، فولدرها و فایل‌های زیر را ایجاد می‌کند:

۱- در ویندوزهای دسته اول یعنی ۹۸ یا XP در مسیر C:\Programfiles\CommonFiles فولدری با نام VMConvert32 ایجاد می‌کند.

۲- در ویندوزهای دسته دوم یعنی ۲۰۰۸، ویستا یا هفت (سون) در مسیر AppData\Roaming فولدری بانام VMConvert32  ایجاد می‌کند.

در این فولدر فایل‌های زیر دیده می‌شود:

  • فایل wmccds.exe فایل اجرایی تروجان است.
  • فایل wmccds.ini تنظیمات تروجان را شامل می‌شود.
  • فایل wmccds.dat اطلاعات ذخیره‌شده را در خود نگهداری می‌کند.

همچنین بعد از اجرای winzip.exe علاوه بر فولدرهای بالا در رجیستری کلیدی ایجاد می‌شود تا برنامه را به این صورت اجرا کند:

خب حالا به بخش جالب ماجرا می‌رسیم. بعد از یک بار ری‌استارت کامپیوتر برنامه همراه explorer.exe در ویندوزهای دسته اول و به صورت یک پروسس مجزا در ویندوزهای دسته دوم اجرا می‌شود. بعد از راه‌اندازی ویندوز، تروجان شروع به کار کرده و تمامی اطلاعاتی را که در کلیپ‌برد وارد می‌کنید (همان جای موقتی که نوشته‌ها را بعد از کپی در خود نگه می‌دارد تا آن را در جایی که می‌خواهید پیست کنید) و برنامه‌های اجرا شده در سیستم و هر کلیدی را که فشار می‌دهید، در فایل wmccds.dat ذخیره کرده و به محض اتصال به اینترنت، فایل گزارشی با نام temp997.htm ایجاد کرده و برای آدرس تعریف شده در تروجان (مثلاً ایمیل یا سرور نویسنده این تروجان) ارسال می‌کند.

توجه داشته باشید که این تروجان تمام اطلاعات و گذرواژه‌های ذخیرهشده در مرورگرهای اینترنت اکسپلورر، فایرفاکس و اپرا را هم استخراج کرده و آنها را هم ارسال می‌کند. دراین برنامه همچنین امکانی تعریف شده تا بتواند با اتصال به سروری که در دل برنامه تعریف شده، برنامه‌های دیگری را روی سیستم دانلود و اجرا کند.

این برنامه به از طریق ایمیل و فلش مموری تکثیر می‌شود. این هم نمونه‌ای از متن ارسالی توسط این برنامه:

Thousands of endangered penguins have been coated with oil after a cargo ship ran aground and broke up on a remote British South Atlantic territory, officials and conservationists said Tuesday.The shipwreck also threatens the lobster fishery that provides a livelihood to one of the worlds most isolated communities. The Malta-registered MS Olivia was grounded on Nightingale Island in the Tristan da Cunhachain last week. The ship had been traveling from Brazil to Singapore and contained 1,500 metric tons (1,650 tons) of crude oil and a cargo of 60,000 metric tons (66,000 tons) of soya beans.

فایل پیوست این ایمیل با نام main937.exe ارسال می‌شود. برای پاکسازی کافی‌ست فولدرهای برنامه را به صورت کامل پاک کنید. این تروجان تا الان به ۶ تا از پژوهشگاه‌های و آزمایشگاه‌های ویروس‌شناسی گزارش داده شده. احتمالاً تا دو سه روز آینده تمام ویروس‌کش‌ها اون رو شناسایی خواهند کرد.

 

مراقب ایمیل با عنوان «اسیدپاشی» باشید

قبلاً هم گفته بودم که یکی از روش‌های مورد علاقه هکرها، روش مهندسی اجتماعیه. اونها سعی می‌کنن ایمیل‌هایی که حاوی فایل‌های آوده هستند رو ارسال کنند و برای این که شما به باز کردن ایمیل‌ها و کلیک روی لینک یا دریافت فایل ضمیمه آلوده، تحریک بشید، عنوانی جذاب رو براتون انتخاب کنند.

چند وقت پیش ایمیل‌هایی با موضوعات مربوط به «ازدواج سلطنتی» دامنگیر مردم دنیا شده بود. امروز نمونه ایرانی این نوع ایمیل‌ها هم دیده شد. البته قبلاً هم بارها این اتفاق افتاده. اما با توجه به مسأله اسیدپاشی که یکی از مباحث مهم و پربحث این روزهاست، هکرها اقدام به استفاده یا بهتره بگم سوءاستفاده از این جریان کردند.

امروز یکی از دوستانم ایمیلی دریافت کرد با عنوان «اسید پاشی/ جنایت و مکافات». داخل این ایمیل یک فایل ۱۲۱ کیلوبایتی بود به نام asid.rar  که از قرار معلوم فیشینگ رو انجام می‌ده. به عبارتی گذرواژه‌های شما رو می‌دزده و برای صاحبش ارسال می‌کنه.

فرستنده این ایمیل ممکنه یکی از دوستان شما باشه که روحش هم از این ماجرا خبر نداره. در واقع کسی که کامپیوترش آلوده می‌شه خبر نداره که این فایل جاسوس، داره از طرف اون برای دوستاش یک نسخه از خودش رو ارسال می‌کنه. به هر حال اگر چنین ایمیلی از دوستتون دریافت کردید یک سره روانه سطل آشغالش کنید. اگر هم چنین اشتباهی کردید، بلافاصله کامپیوترتون رو از نظر ویروس و تروجان چک کنید و پسوردتون رو عوض کنید.

دوستان پس از هک کردن جی‌میل این دوستمون، وارد میل‌باکس شدند و چرخی هم زدند. این هم گزارش لاگین کردنشون و البته آی‌پی که در اسکرین‌شات زیر قابل مشاهده هست. ضمن این که با این آی‌پی مشخصاتی هم در این سایت ثبت شده که آدرس ساختمان شاهد سازمان مخابرات ایران واقع در بزرگراه کردستان رو نشون می‌ده. الله اعلم!

پ.ن: گویا محتوای این فایل رو که باز کنید، یک تعداد از مطالب کپی شده از وبلاگ‌هایی رو خواهید دید که درباره اسیدپاشی نوشته شده. برای مثال عنوان این ایمیل دقیقاً همون عنوانی هست که وبلاگ تخواب دونفره برای این مطلبش گذاشته بود. یعنی هکرها، از این مطالب سوءاستفاده کردند.

چطور از طرف اوباما واسه یکی ایمیل بفرستم؟

iPlus Kioskچند روز پیش رفتم سراغ یه کیوسک توی محله ناتینگ‌هیل لندن که پیش از این بی‌تفاوت از کنارش رد می‌شدم. در واقع یه دستگاهی شبیه به عابربانک اما با نمایشگر لمسی.
یه کم که باهاش ور رفتم دیدم که به اینترنت وصله و می‌شه مثلاً با استفاده از یاهو، جست‌وجو کرد و ایمیل فرستاد و یک سری کارهای دیگه مثل نقشه و اوضاع آب و هوا رو از توش پیدا کرد. بعد هم متوجه شدم این کیوسک‌ها با اسم آی‌پلاس جاهای دیگه‌ای هم مثل موزه تیت‌مدرن پیدا می‌شن.
اما نکته‌ای که برام جالب بود، بخش ارسال ایمیل این دستگاه بود. در واقع یک فرم بود که چند بخش داشت: فیلدهای از (From)، به (To)، موضوع نامه و یک جا هم برای نوشتن متن نامه. خب قسمت بانمک ماجرا این بود که من توی بخش فرستنده می‌تونستم هر ایمیلی که دلم می‌خواد رو بنویسم. با این کار می‌شد مثلاً از طرف باراک اوباما به احمدی‌نژاد ایمیل فرستاد!
در واقع سرویس‌های ارسال ایمیل ناشناس یا Anonymous Email Sender رو اینترنت کم نیستن. می‌شه با استفاده از این سایت‌ها، همین کار رو انجام داد. اما به هر حال با دریافت نامه و چک کردن بخش هِد می‌شه فهمید که این نامه واقعاً از طرف باراک فرستاده شده یا نه و البته فرستنده واقعی هم در مواقع اورژانس و ضروری قابل یافتنه. ولی این که یه همچین چیزی رو بذارن تو خیابون که هر کی به هر کی بتونه ایمیل بفرسته، کلاً به نظر من یه جور باگ فناورانه خنده‌داره و برای کاربران معمولی اینترنت که نمی‌دونن می‌شه یه ایمیل دروغی این چنین فرستاد، می‌تونه باعث دردسر باشه.