حمله فیشینگ با استفاده از URIهای blob؛ تهدیدی پنهان در دل مرورگر

به گزارش دیتاسنتر من و به نقل از TechRadar، بر اساس یافته‌های جدید شرکت Cofense، این تکنیک بر پایه‌ی استفاده از URIهای نوع blob است؛ قابلیتی در مرورگرهای وب که در اصل برای نمایش محتوای محلی و موقت طراحی شده است. اما اکنون مهاجمان سایبری این قابلیت را به ابزاری برای نمایش صفحات جعلی ورود (فیشینگ) تبدیل کرده‌اند.

از آنجا که URIهای blob به‌صورت کاملاً محلی در مرورگر کاربر ایجاد می‌شوند و هیچ‌گاه روی یک سرور عمومی بارگذاری نمی‌شوند، شناسایی آن‌ها برای پیشرفته‌ترین سامانه‌های محافظت از نقاط پایانی نیز بسیار دشوار است.

عبور نامحسوس از سدهای دفاعی امنیتی
در این شیوه، فیشینگ با ارسال یک ایمیل آغاز می‌شود که بدون هیچ مشکلی از فیلترهای امنیتی ایمیل (Secure Email Gateways) عبور می‌کند. محتوای این ایمیل معمولاً حاوی لینکی به یک صفحه‌ ظاهراً معتبر – مانند دامنه‌های رسمی مایکروسافت OneDrive – است.

این صفحه اولیه صرفاً به عنوان واسطه‌ای عمل می‌کند که فایل HTML طراحی‌شده توسط مهاجم را به طور مخفیانه بارگذاری می‌کند. این فایل سپس به یک URI از نوع blob تبدیل می‌شود تا صفحه‌ای جعلی، اما بسیار دقیق از محیط ورود مایکروسافت، در مرورگر قربانی نمایش داده شود.

از نگاه کاربر، همه چیز عادی به‌نظر می‌رسد: آدرس اینترنتی مشکوک یا نشانه‌ای واضح از تقلب وجود ندارد. تنها با یک کلیک برای ورود، فایل HTML دوم فعال می‌شود و صفحه‌ی جعلی ورود را از طریق URI محلی بارگذاری می‌کند.

از آنجا که این صفحات در حافظه مرورگر ایجاد می‌شوند و دسترسی به آن‌ها از بیرون ممکن نیست، ابزارهای سنتی شناسایی تهدید نیز قادر به ردیابی یا مسدودسازی آن‌ها نیستند.

جِیکوب مالیمبان از تیم تحلیل اطلاعات شرکت کافنس در این‌باره می‌گوید: «این روش، فرآیند تشخیص و تحلیل تهدید را به شکل چشمگیری دشوار می‌کند. از آن‌جایی که این صفحات به‌صورت محلی و بدون میزبانی آنلاین ایجاد می‌شوند، امکان شناسایی از طریق روش‌های رایج وجود ندارد.»

در این فرآیند، اطلاعات ورود وارد شده توسط قربانی، بدون آن‌که متوجه شود، مستقیماً به مهاجم انتقال داده می‌شوند.

چالش‌های هوش مصنوعی در شناسایی تهدیدهای نوظهور
حتی سامانه‌های امنیتی مبتنی بر هوش مصنوعی نیز برای شناسایی این حملات با دشواری مواجه‌اند. دلیل این امر آن است که URIهای blob به‌ندرت در فعالیت‌های مخرب مورد استفاده قرار می‌گیرند و ممکن است داده‌های آموزشی این سیستم‌ها برای مواجهه با چنین مواردی کافی نباشد.

پژوهشگران هشدار می‌دهند در صورتی که فناوری‌های تشخیص تهدیدات به‌روزرسانی نشوند، این تکنیک می‌تواند به یکی از ابزارهای محبوب مهاجمان سایبری تبدیل شود.

راهکارهای پیشگیری
برای مقابله با چنین حملاتی، به سازمان‌ها توصیه می‌شود از راه‌حل‌های پیشرفته‌ی امنیتی مانند فایروال به‌عنوان سرویس (FWaaS) و دسترسی به شبکه‌ی مبتنی بر اصل «اعتماد صفر» (ZTNA) استفاده کنند. این ابزارها می‌توانند با نظارت دقیق بر رفتارهای مشکوک در فرآیندهای ورود به سیستم، نقش مؤثری در افزایش امنیت سازمان‌ها ایفا کنند.