وقتی اسپم‌ها به وبسایت شرکت‌تان رخنه می‌کنند!

۱۳۹۸/۵/۲۰امنیت اطلاعات

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ اسپمرها دائماً به دنبال راهی برای ارسال پیام‌های اسپم به گیرندگان هستند. آن‌ها دوست دارند این پیام‌ها شبیه به پیام‌هایی باشند که گویی کسی یا شرکتی سرشناس و معتبر با فیلترهای اسپمیِ خود ارسال کرده است. برای مثال، اسپمرها عاشق اینند با آدرس شرکت شما اقدام به ارسال اسپم‌های خود کنند (بله، درست از طریق وبسایت شما). این روش (که در ادامه به شما توضیح خواهیم داد) دارد طرفداران پر و پا قرصی برای خود پیدا می‌کند.

این روزها، تقریباً هر شرکتی دوست دارد از سوی مشتریان خود بازخورد دریافت کند تا بدین‌ترتیب بتواند سطح خدمات‌دهی را ارتقا بخشد، ارباب‌رجوع را راضی نگه دارد و غیره. به منظور دریافت چنین بازخوردی، شرکت‌ها معمولاً فرمی (یا حتی چندین فرم بازخورد) برای دریافت بازخوردها روی سایت تعبیه می‌کنند. کاربران می‌توانند از چنین فرم‌هایی برای پرسش سؤالات، انتقال نظرات و پیشنهادات، ثبت‌نام برای رویدادهای شرکت یا دریافت اشتراک برای روزنامه‌ها و قرار گرفتن در جریان بروزرسانی‌ها استفاده کنند. مهاجمین نیز سایه به سایه در تلاشند تا این مکانیزم را اکسپلویت و اسپم‌های خود را به افراد یا شرکت‌هایی کاملاً نامرتبط ارسال کنند.

مهاجمین چطور می‌توانند از وبسایت شما برای ارسال اسپم‌های خود استفاده کنند

این مکانیزم در حقیقت خیلی هم ساده است. قانون: پیش از استفاده‌ی کاربر از سرویسی آنلاین، عضو شدن در فهرست یک سرویس میلینگ یا پرسش سوالی روی وبسایت یک شرکت، ابتدا می‌بایست در سایت ثبت‌نام کند. این بدان‌معناست که کاربر باید دست‌کم نام و آدرس ایمیل خود را وارد کند. بعد از اینکه کاربر درخواست ثبت‌نامش را می‌گذارد، شرکت پیام تأیید را از طریق ایمیل ارسال می‌کند. اسپمرها حال دیگر خود می‌دانند باید چطور اطلاعات خود را به این پیام‌های تأیید ثبت‌نام اضافه کنند.

اسمپرها آدرس ایمیل قربانی را به عنوان آدرس ثبت‌نام تعیین کرده و پیام‌های تبلیغاتی خود را در فیلد نام وارد می‌کنند- برای مثال، «حراج فروش ورقه‌های آهن. به سایت  http://sheetiron.su مراجعه کنید». مکانیزم ثبت‌نام نیز پیام تأییدی را به قربانی ارسال می‌کند. پیام بسیار مؤدبانه شروع می‌شود: «سلام، ما ورقه‌های آهن را با قیمتی استثنائی می‌فروشیم. به سایت http://sheetiron.suمراجعه کنید! خواهشمندیم درخواست ثبت‌نام خود را تأیید کنید...». اگر کسی از این روش بخواهند ترفندهای خود را اجرایی کند پس احتمالاً نتیجه‌های خوبی هم خواهد گرفت.

سیر تکاملی در استفاده از فرم‌های فیدبک توسط مهاجمین سایبری

آن‌ زمان‌ها وقتی اینترنت هنوز پدیده‌ای نوپا بود، ابزار فیدبک وبسایت جایی بود که همه می‌توانستند در آن نظرات و بازخوردهای خود را انتقال دهند. مهاجمین و بزهکاران اینترنتی هم که چنین جاهایی برایشان بهترین جولانگاه است چونان خرابی‌ای در این محافل به بار می‌آوردند که حد و حصر نداشت. سپس متخصصین امنیت وبسایت تصمیم گرفتند کاربران مهمان را ملزم به ثبت‌نام کنند (و بعد اجازه دهند نظراتشان ثبت گردد). مهاجمین همیشه در صحنه نیز چنین واکنش نشان دادند: ثبت‌نام خودکار کاربران تحت آدرس‌های ایمیل ساختگی و تقلبی که به آن‌ها اجازه می‌داد شروع به فرستادن اسپم به صاحبان شرکت کنند. 

همانجا بود که توسعه‌دهندگان وبسایت تصمیم گرفتند کاربران را ملزم به تأیید آدرس‌های ایمیل‌شان کنند؛ ساز و کاری که اسپمرها اکنون می‌توانند آن را اکسپلویت کنند و اسپم‌های خود را بفرستند. وقتی چنین اتفاقی می‌افتد، هیچ چیزی به اکانت ایمیل شرکت ارسال نمی‌شود. اطلاعات کاربر که در طول پروسه‌ی ثبت‌نام جمع‌آوری شده بد فقط در یک پایگاه اطلاعاتی ثبت و ضبط می‌شود و قربانی‌ها مدام چنین چیزی دریافت می‌کنند:

 

 

مزایای ارسال اسپم از طریق وبسایت شرکتی سرشناس و معتبر

هر شرکتی که دوست دارد کاربران پر و پا قرص و وفادار داشته باشد توجه زیادی به وبسایتش می‌کند. طراحی سایت، محتوای آن و کارایی‌پذیری‌اش اهمیت بسیار زیادی دارد. شرکت‌ها معمولاً با دقت زیادی امور مربوط به وبسایت خود را تحت نظارت قرار می‌دهند و برای اعتبار آن تلاش زیادی نیز می‌کنند. با این حال، همین اعتبار و سرشناس بودن است که برای مهاجمین سایبری اهمیت دارد. پیام‌هایی که از سوی منبعی معتبر فرستاده می‌شوند معمولاً براحتی از فیلترهای ضداسپم رد می‌شوند؛ آن‌ها در اصل حکم پیام‌های رسمی از شرکتی معتبر را دارند. و همه‌ی عناوین فنی در این پیام‌ها نیز تماماً قانونی‌اند. در عین حال، حجم محتوای واقعی اسپم داخل پیام بسیار کم است (منظورمان همانیست که فیلترها می‌توانند بدان واکنش نشان دهند). رتبه‌بندی اسپم بر پایه‌ی عوامل بسیاری است؛ بنابراین اعتبار و اصالت کلی پیام همان میزان پیامی است که از فیلتر رد می‌شود. این روش تحویل اسپم اخیراً به شدت میان اسکمرها رواج پیدا کرده است. آن‌ها حتی دارند این روش را در قابل سرویس‌هایی نیز پیشنهاد می دهند: تحویل تبلیغات شما از طریق فرم‌های فیدبک.

 

 

اسپمِ ارسال‌شده به سایت شما می‌تواند کسب‌و‌کارتان را شدیداً به خطر بیاندازد

اعتبار و شهرت کسب و کار شما و امنیت مشتریان‌تان در خطر است. اول از همه اینکه اگر اطلاعیه‌های ثبت‌نام حاوی تبلیغات مزاحم به اسم شما به کاربران (که می‌دانند چنین فرمی در وبسایت شما پر نکرده‌اند) ارسال شود ممکن است فکر کنند شرکت‌تان دارد این اسپم‌ها را می‌فرستد. دوم اینکه، اسمپرها برخی‌اوقات لینک فیشینگی را در فیلد نام درج می‌کنند که مشتریان کسب و کار شما را به محتوایی جعی یا مخرب سوق داده یا حتی در خود کد آلوده‌ای دارد و این کد آلوده ممکن است حتی پیامدهای بدتری هم برای قربانی داشته باشد.

برخی‌اوقات کلاهبرداران می‌توانند از قصد نام شرکت را اکسپلویت کنند؛ بدین‌ترتیب اعتبار و آوازه‌ی سازمان مربوطه لکه‌دار می‌شود. برای مثال، این متود می‌تواند برای کاربران یک شرکت، پیام‌هایی در مورد تبلیغات جعلی و جوایز تقلبی ارسال کند. با این همه صحنه‌سازی و قانونی جلوه دادن شرایط، دیگر مگر کسی هم هست که باور نکند؟

چطور نگذاریم سایت‌مان به ابزاری برای اسپمینگ تبدیل شود

برای شروع باید بدانید فرم‌های فیدبک روی وبسایت شما چطور عمل می‌کنند. این کار را می‌توانید با یک سری آزمایشات معمولی انجام دهید. تنها کافیست به فرم مربوطه روی وبسایت خود رفته و آنجا اقدام به ثبت‌نام کنید (با آدرس ایمیل شخصی‌تان) اما این پیام را در فیلد نام بزنید: «من دارم گاراژم را می‌فروشم...» آدرس و شماره تلفت وبسایت را هم در آن شامل کنید. حال برای اینکه بدانید آیا مکانیزم‌های اعتبارسنجی برای چنین اطلاعاتی بدرستی کار می‌کند یا نه بررسی کنید ببینید چه چیزی به صندوق ورودی میل‌تان ارسال می‌شود.

اگر چنین پیامی دریافت کردید: «سلام، من دارم گاراژم را می‌فروشم...» پس باید با مدیر بخش سایت شرکت خود تماس گرفته و به او متذکر شوید که نام افراد زنده و واقعی نمی‌تواند شامل عدد، نقطه‌ویرگول، http:// و سایر سمبل‌های مشابه باشد. بنابراین باید چک‌های ساده‌ی ورودی بگذارند که اگر کاربر سعی داشت با نامی این چنینی (کاراکترهای نامعتبر) ثبت‌نام کند خطا اعلام شود. توسعه‌دهندگان می‌توانند براحتی این چک‌ها را روی سایت شما و یا مکانیزم میلینگ‌تان بگذارند. محض احتیاط اگر توسعه‌دهندگان چیز دیگری را هم فراموش کرده بودند، یادتان باشد وبسایت خود را نیز در برابر آسیب‌پذیری‌ها ایمن‌ کنید. 

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.