ابزارهای پیشرفته Phishing-as-a-Service (PhaaS) صفحات فیشینگ بسیار واقعی و جعلی تولید می‌کنند

کارشناسان امنیت سایبری نسبت به گسترش ابزارهای بسیار پیشرفته فیشینگ هشدار داده‌اند؛ این ابزارها که تحت مدل Phishing-as-a-Service (PhaaS) توسعه یافته‌اند، به مهاجمان—even افراد کم‌تجربه—اجازه می‌دهند صفحات جعلی بسیار واقع‌گرایانه‌ای از وب‌سایت‌های معتبر ایجاد کنند.

---

موج جدید فیشینگ با صفحات جعلی پویا

درحالی‌که هدف نهایی این حملات همچنان سرقت اطلاعات ورود و داده‌های حساس کاربران است، اما روش‌های مهاجمان به‌شدت پیشرفته‌تر شده‌اند.
برخلاف روش‌های سنتی که نیاز به کپی دستی صفحات وب داشت، ابزارهای جدید PhaaS این فرآیند را به‌صورت خودکار انجام می‌دهند و صفحات جعلی را در لحظه ایجاد می‌کنند.

یکی از نمونه‌های مشهور این ابزارها، LogoKit است که اولین‌بار در سال ۲۰۲۱ شناسایی شد و همچنان به‌طور فعال در کمپین‌های فیشینگ جهانی مورد استفاده قرار می‌گیرد.

---

حمله چگونه کار می‌کند؟

1. شروع با ایمیل فریبنده:
   پیام‌هایی که حس فوریت یا کنجکاوی ایجاد می‌کنند و گیرنده را وادار به کلیک بدون بررسی دقیق می‌کنند.

2. صفحه جعلی حرفه‌ای:
   کاربر به صفحه‌ای هدایت می‌شود که به‌صورت پویا لوگو و اجزای گرافیکی برند مورد نظر را از APIهایی مانند Clearbit دریافت می‌کند.

3. اطلاعات از قبل واردشده:
   نام یا آدرس ایمیل کاربر در فرم از قبل وارد شده که حس بازدید قبلی را القا می‌کند.

4. ارسال اطلاعات:
   پس از وارد کردن اطلاعات ورود، داده‌ها از طریق AJAX POST به سرور مهاجم ارسال می‌شوند.

5. هدایت به سایت اصلی:
   پس از آن، قربانی به وب‌سایت واقعی هدایت می‌شود و اصلاً متوجه نمی‌شود که اطلاعاتش به سرقت رفته است.

---

مزایای مدل PhaaS برای مهاجمان:

• سفارشی‌سازی آنی: امکان تولید صفحه جعلی مطابق با هر سازمان در لحظه.

• ظاهر حرفه‌ای: استفاده از عناصر واقعی برند برای گول زدن حتی کاربران با تجربه.

• زیرساخت سبک و منعطف: قابل میزبانی در پلتفرم‌هایی مانند Firebase، Oracle Cloud و GitHub.

• دسترسی گسترده: این ابزارها در فروم‌های زیرزمینی به فروش می‌رسند و به مهاجمان تازه‌کار نیز امکان اجرای حملات پیشرفته را می‌دهند.

---

نمونه‌ها:

• صفحه ورود جعلی Amazon

• صفحه فیشینگ برای سازمان AFIP آرژانتین (اداره مالیات فدرال)

---

راهکارهای دفاعی در برابر فیشینگ مدرن:

🔒 راستی‌آزمایی پیام‌ها:
به‌جای کلیک روی لینک، آدرس سایت‌ها را دستی وارد کنید یا با سازمان مربوطه از طریق کانال‌های رسمی تماس بگیرید.

🧠 آگاهی کاربران:
آموزش به کاربران برای تشخیص ایمیل‌های فیشینگ و بررسی دقیق لینک‌ها و صفحات.

🔐 استفاده از رمزهای عبور قوی و متفاوت برای هر سرویس

📲 فعال‌سازی احراز هویت دومرحله‌ای (2FA):
ترجیحاً از اپلیکیشن‌ها یا سخت‌افزار (مثل YubiKey) به‌جای پیامک استفاده کنید.

🛡️ استفاده از راهکارهای امنیتی پیشرفته:
نرم‌افزارهای ضدفیشینگ با قابلیت‌های تشخیص پویا می‌توانند لایه‌ی دفاعی مؤثری باشند.

🤖 آمادگی برای فیشینگ مبتنی بر هوش مصنوعی:
با ظهور حملات شخصی‌سازی‌شده توسط AI، توجه صرف به قالب ایمیل دیگر کافی نیست.