- تماس با ما
- ۰۲۱-۸۲۸۰۵۹۱۱
- ۰۲۱-۹۱۳۰۰۴۷۶
- info@arka.ir
فیشینگ با فایلهای گرافیکی (SVG)
۵ راه برای بهینهسازی مدیریت امنیت مرکز داده
05/02/2025
مهاجرت به XGS: راهنمای جامع انتقال از فایروال سوفوس XG به XGS
08/02/2025
تهدید فیشینگ با فایلهای گرافیکی (SVG)
مجرمان سایبری که حملات فیشینگ از طریق ایمیل انجام میدهند، سوءاستفاده از یک بردار تهدید جدید را افزایش دادهاند که برای دور زدن سیستمهای ضداسپم و ضدفیشینگ طراحی شده است:
استفاده از فرمت فایل گرافیکی به نام SVG
این حملات که با پیامهای ایمیلی حاوی فایلهای ضمیمه با پسوند .svg آغاز میشوند، از اواخر سال گذشته گسترش یافتند و از اواسط ژانویه بهطور قابلتوجهی افزایش پیدا کردهاند.
فرمت SVG برای ایجاد تصاویر برداری مقیاسپذیر در رایانه طراحی شده است. بهطور پیشفرض، فایلهای SVG در مرورگر پیشفرض ویندوز باز میشوند. اما برخلاف فرمتهای رایج مانند JPEG، PNG، یا BMP که از دادههای باینری تشکیل شدهاند، فایلهای SVG شامل دستوراتی متنی در قالب XML هستند که نحوه رسم تصاویر را در پنجره مرورگر مشخص میکنند.
محتوای یک فایل SVG قانونی همراه با تصویر بندانگشتی
یک فایل SVG مخرب به یک فایل Google Docs لینک میدهد.
اگر هدف روی لینک تعبیهشده در فایل SVG کلیک کند، مرورگر لینک را باز میکند، که به طور قطع به یک ترفند مهندسی اجتماعی میانجامد که هدف را فریب میدهد تا وارد حساب کاربری خود شود.
ترفندهای مهندسی اجتماعی استفادهشده در تهدید فیشینگ با فایل های گرافیکی SVG
-
ایجاد احساس فوریت یا تهدید:
حملات فیشینگ معمولاً با استفاده از پیامهای فوری یا تهدیدآمیز طراحی میشوند که کاربر را مجبور میکنند سریعاً اقدامی انجام دهد، مانند “حساب شما در خطر است” یا “اگر اقدام نکنید، حساب شما بسته خواهد شد”.
-
صفحات ورود جعلی:
در این نوع حملات، لینکهای مخفیشده در فایل SVG به صفحات ورود جعلی هدایت میکنند که شبیه به صفحات واقعی وبسایتها هستند (مثل گوگل، فیسبوک یا بانکها) و از کاربر خواسته میشود که اطلاعات حساس خود را وارد کند.
-
استفاده از ایمیلهای رسمی به ظاهر قانونی:
پیامهای ایمیل فیشینگ معمولاً به نظر میرسد که از شرکتها یا برندهای معتبر مانند DocuSign، Dropbox یا Google Voice ارسال شدهاند. این ایمیلها معمولاً درخواستهایی مانند “لطفاً این سند را امضا کنید” یا “شما یک پیام جدید دارید” دارند که هدف را فریب میدهند.
-
تغییرات در حساب کاربری:
پیامها میتوانند حاوی اطلاعیههایی باشند مبنی بر اینکه حساب کاربری نیاز به تأیید یا بهروزرسانی اطلاعات دارد. این نوع پیامها اغلب به صفحات جعلی هدایت میشوند که کاربران وارد اطلاعات شخصی خود میکنند.
-
صفحات پرداخت جعلی:
در این حملات، لینکهای مخفیشده به صفحات پرداخت جعلی هدایت میشوند که به نظر میرسد کاربر در حال پرداخت برای خدمات یا کالاهای آنلاین است، ولی در واقع هدف، سرقت اطلاعات مالی است.
-
استفاده از تکنیکهای فریبنده در نامگذاری فایلها:
فایلهای SVG معمولاً به عنوان پیوستهای قانونی مانند “قرارداد”، “فاکتور” یا “اطلاعیه جدید” ظاهر میشوند تا کاربر را ترغیب به باز کردن آنها کنند.
مجموعهای از این ترفندها به مهاجمان امکان میدهد تا از حملات فیشینگ SVG برای سرقت اطلاعات حساس کاربران یا دسترسی به حسابهای آنلاین آنها استفاده کنند.
برندها و خدمات آنلاین معروف زیادی توسط این حملات سوءاستفاده شدهاند، از جمله:
- DocuSign
- Microsoft SharePoint
- Dropbox
- Google Voice
- RingCentral
چگونه حمله انجام میشود
تهدید فیشینگ با فایلهای گرافیکی (SVG)
هنگامی که هدف یک ایمیل حاوی پیوست SVG دریافت میکند و آن را باز میکند، مگر اینکه برنامه دیگری برای کار با فایلهای SVG داشته باشد، فایل در مرورگر پیشفرض باز میشود.
سادهترین فایلهای SVG مخرب شامل یک یا چند خط متن با لینک هستند که نام کاربری ایمیل را به عبارتهایی مانند “برای باز کردن کلیک کنید” یا “برای گوش دادن به پیام صوتی، لینک زیر را کلیک کنید” اضافه میکنند.
لینک به یک صفحه فیشینگ هدایت میشود که پشت دروازه CloudFlare CAPTCHA قرار دارد. با تیک زدن کادر برای اثبات انسانی بودن، کاربر به صفحهای هدایت میشود که توسط گروه فیشینگ اداره میشود و در آن، پنجره ورود واقعی Office365 درون آن صفحه فریم میشود تا همزمان با تأیید اطلاعات ایمیل و رمز عبور، آنها را سرقت کند.
یک CAPTCHA از یک سایت فیشینگ محافظت میکند.
یک صفحه CAPTCHA جایگزین که از یک سایت فیشینگ محافظت میکند.
