توجه: این مطلب صرفآ جهت مقاصد آموزشی نوشته شده است و مسئولیت هرگونه استفاده نادرست از این اطلاعات به عهده خواننده است.
فیشینگ چیه؟
فیشینگ یک تکنیک قدیمی (بیشتر از بیست سال پیش) برای سرقت اطلاعات کاربران است که همچنان امروز هم مورد استفاده هکر ها است. فیشینگ به زبان ساده یعنی صفحه ای شبیه صفحه لاگین یک سایت معتبر که حاوی کدی است که آنچه شما در قسمت نام کاربری و رمز وارد می کنید را به طور مخفیانه برای هکر می فرستد. مثلآ یک صفحه که عینآ شبیه صفحه لاگین یاهو است با این تفاوت که وقتی روی دکمه Login کلیک می کنید اطلاعات شما اول به طور مخفیانه برای هکر ارسال شده و سپس وارد یاهو می شوید.
حالا دسکتاپ فیشینگ چیه؟
دسکتاپ فیشینگ یک مدل جدید تر از فیشینگ است که مشکلاتی که فیشینگ قدیمی دارد را ندارد. مهم ترین تفاوت دسکتاپ فیشینگ با فیشینگ معمولی این است که در دسکتاپ فیشینگ لینک صفحه ای که حاوی کد مخرب است هیچ تفاوتی با لینک سایت اصلی نخواهد داشت! یعنی کاربر مثلآ آدرس سایت را همان yahoo.com می بیند و ابدآ شک نمی کند که این فرم بتواند یک صفحه فیشینگ باشد. در حالی که در فیشینگ قدیمی صفحه فیشینگ باید در یک لینک جدا قرار داشته باشد و کاربر با کمی دقت به سادگی می تواند متوجه شود که وارد یک صفحه تقلبی شده است. مزیت دیگر دسکتاپ فیشینگ این است که نیازی به طراحی یک صفحه تقلبی جداگانه برای هر سایت نیست و با یک کد می توان تمام سایت ها را آلوده کرد.
مگه میشه؟!
بله، در دسکتاپ فیشینگ نفوذگر با روش های متفاوت فایل مرتبط به DNS را تغییر می دهد (در ویندوز فایل hosts). این باعث می شود شما لینک های سایت ها را همانطور که هستند ببینید و فکر نمی کنید که دارید یک صفحه تقلبی را مشاهده می کنید اما آنچه در مرورگر شما لود شده است در اصل صفحه ای تقلبی است که حاوی کد های مخربی است که اطلاعاتی که شما در فرم های وارد می کنید را به نفوذگر می فرستد.
جدول زیر فیشینگ را با دسکتاپ فیشینگ مقایسه می کند،
چطوری؟
من تا جایی که می شد ماجرا را براتون ساده کردم. اگر همچنان دقیق متوجه نمیشید که این روش چطوری کار می کنه باید یاد بگیرید DNS چیه و چی کار می کنه. من براتون به زبان ساده توضیح میدم. کامپیوتر ها آدرس سایت ها را با یک سری عدد به اسم «آدرس IP» می شناسند و اسم خود سایت مثلآ yahoo.com براشون معنی نداره. هر موقع شما تایپ کنید yahoo.com و بخواهید وارد سایت یاهو شوید کامپیوتر تان باید بداند آدرس IP سایت یاهو چیست تا بتواند سایت را برای شما باز کند. کامپیوتر تان اول دفترچه یادداشت خودش را نگاه می کند تا ببیند می داند این آدرس چیست یا خیر، اگر در دفترچه خودش نداشت (همان فایل hosts که راجع بش صحبت کردیم) از DNS می پرسد و DNS آدرس IP سایت مورد نظر را به کامپیوتر می گوید.
ما با اضافه کردن یک خط تقلبی به این دفترچه یادداشت کامپیوتر را گول می زنیم تا فکر کند که می داند آدرس سایت چیست اما ما به جای آدرس واقعی آدرس کد مخرب خودمان را می گذاریم. در این حالت کامپیوتر محتوای صفحه مخرب را باز می کند اما فکر می کند این همان سایت یاهو است در نتیجه لینک ها هم همگی واقعی به نظر می رسند.
میشه با مثال نشون بدی؟
1. وارد آدرس C:\Windows\System32\drivers\etc شوید و فایل hosts را با نت پد باز کنید.
2. دو خط زیر را به این فایل اضافه کنید (بعد از خط هایی که با # شروع شده اند):
فایل را ذخیره کنید و مرورگر خود را باز و بسته کنید.
3. حالا وارد سایت یاهو شوید، می بینید که وارد سایت پارسیک می شوید اما لینک همچنان سایت یاهو را نشان می دهد.
اگر همچنان صفحه یاهو را می بینید مطمئن شوید فایل را به درستی ذخیره کرده اید و مرورگر خود را باز و بسته کرده اید. در نهایت ممکن است مجبور باشید دیسکانکت شوید و دوباره به اینترنت وصل شوید.
الان چی کار کردیم؟
ما فایل hosts که همون دفترچه کامپیوتر مون باشه را تغییر دادیم و توش نوشتیم آدرس IP سایت یاهو 64.130.216.112 هست در حالی که این عدد مربوط به سایت پارسیک هست. در نتیجه وقتی کامپیوتر خواست یاهو را باز کند آن خط را خواند و گول خورد و سایت پارسیک را باز کرد، با این فکر که این همان یاهو است.زنگوله
