حمله‌ی تایپ‌اسکواتینگ در عمل

در نگاه اول، این ایمیل ظاهراً از طرف مایکروسافت ارسال شده است:

اما با بررسی دقیق‌تر مشخص می‌شود که دامنه‌ی واقعی فرستنده، rnicrosoft Com  است ،جایی که حروف “r” و “n” کنار هم قرار گرفته‌اند تا شبیه حرف “m” به نظر برسند.

این تکنیک که با نام TypoSquatting  یا Homograph Spoofing  شناخته می‌شود، یکی از رایج‌ترین روش‌های فیشینگ در سال‌های اخیر است و به سرعت در کمپین‌های هدفمند برای سرقت اطلاعات کاربری و دسترسی به حساب‌های حساس سازمان‌ها گسترش یافته است.

 

تحلیل فنی

سوءاستفاده از ثبت دامنه‌ها

مهاجمان دامنه‌هایی ثبت می‌کنند که از نظر ظاهری بسیار شبیه دامنه‌های معتبر سازمانی هستند. روش‌های رایج شامل:

  • ترکیب کاراکترهای ASCII: مثال rn → m
  • استفاده از نویسه‌های Unicode مشابه حروف لاتین (حروف سیریلیک یا نمادهای شبیه به حروف انگلیسی)
  • ثبت دامنه‌های با غلط‌های املایی رایج یا فاصله‌های اضافی در دامنه

هدف از این کار، ایجاد حس اعتماد اولیه و گول زدن کاربر است.

دور زدن احراز هویت ایمیل

برای افزایش موفقیت، این دامنه‌ها اغلب با رکوردهای SPF و DKIM  معتبر پیکربندی می‌شوند تا از فیلترهای امنیتی عبور کنند

به این ترتیب، حتی کاربرانی که نسبت به ایمیل‌های ناشناس محتاط هستند، ممکن است به اشتباه این پیام‌ها را معتبر فرض کنند.

تحویل  Payload

محتوای ایمیل معمولاً شبیه اعلان‌های بازنشانی رمز عبور، پیام‌های MFA یا اطلاعیه‌های امنیتی رسمی است.
قربانی با کلیک روی لینک به صفحه ورود جعلی هدایت می‌شود.

این صفحات معمولاً از HTTPS  و گواهی SSL معتبر استفاده می‌کنند تا حس واقعی بودن سایت را منتقل کنند و اطلاعات کاربری یا کوکی‌های نشست را جمع‌آوری کنند.

توصیه‌های دفاعی

اجرای سیاست DMARC:

ایمیل‌هایی که با سیاست DMARC همخوانی ندارند، رد یا قرنطینه شوند. این کار از جعل دامنه و حملات فیشینگ جلوگیری می‌کند.

پایش مداوم برند و شناسایی دامنه‌های مشابه:

با استفاده از ابزارهای تخصصی، دامنه‌های جعلی یا شبیه به دامنه برند را رصد کنید تا پیش از سوءاستفاده، شناسایی و مسدود شوند. در این حوزه استفاده از راهکارهای امنیتی پیشرفته همچون Security for Mail Server  راهکار ESET پیشنهاد می‌‎گردد.

استفاده از سامانه‌های امنیتی پیشرفته ایمیل:

فناوری‌های مبتنی بر هوش مصنوعی و الگوریتم‌های یادگیری ماشین می‌توانند شباهت‌های ظاهری و ناهنجاری‌های نام‌های نمایشی را تشخیص دهند و از رسیدن ایمیل‌های خطرناک به کاربران جلوگیری کنند. این قابلیت نیز یکی از ویژگی‌های موجود در راهکار Security for Mail  محصولات ESET می‌باشد.

آموزش کاربران نهایی:

به کاربران آموزش دهید که همیشه دامنه‌ها را دقیق بررسی کنند. حتی یک تفاوت کوچک مانند “rn” به جای “m” می‌تواند نشانه‌ی یک حمله فیشینگ باشد. تمرین‌های دوره‌ای و شبیه‌سازی حملات می‌تواند اثرگذاری آموزش را افزایش دهد.

اهمیت موضوع

طبق گزارش‌های اخیر، بیش از ۳۰٪ از دامنه‌های فیشینگ در سال ۲۰۲۴ نسخه‌های فریبنده و شبیه به ارائه‌دهندگان بزرگ  سازمانی بوده‌اند.

این آمار نشان می‌دهد که حتی شرکت‌های بزرگ نیز همواره هدف حملات تایپ‌اسکواتینگ و Homograph Spoofing هستند.