مترجم گوگل برای فیشینگ
"چرا باید یک ایمیل تجاری حاوی پیوندی به Google Translate باشد؟ در تئوری ممکن است فرستنده ایمیل، شما را به بازدید از سایتی به زبان دیگری دعوت کند و سعی کند آن را مفید جلوه دهد."
مترجم گوگل برای فیشینگ
چرا باید یک ایمیل تجاری حاوی پیوندی به Google Translate باشد؟ هنگام بحث درباره ترفندهای مجرمانه سایبری، همیشه توصیه می کنیم هنگام کلیک کردن روی پیوند در ایمیل، به دقت به URL نگاه کنید. در اینجا یک پرچم قرمز دیگر وجود دارد. پیوندی به صفحه ای که با استفاده از Google Translate ترجمه شده است. در تئوری ممکن است فرستنده ایمیل، شما را به بازدید از سایتی به زبان دیگری دعوت کند و سعی کند آن را مفید جلوه دهد. با این حال، در عمل، این تکنیک اغلب برای دور زدن مکانیسم های ضد فیشینگ استفاده می شود. اگر پیام بخشی از مکاتبات تجاری است، و سایتی که پس از کلیک بر روی پیوند باز میشود، میخواهد اعتبارنامه ایمیل خود را وارد کنید، پنجره مرورگر را ببندید و ایمیل را فورا حذف کنید.
چرا مهاجمان از لینکهای مترجم گوگل برای فیشینگ استفاده میکنند؟
بیایید نگاهی به یک نمونه اخیر از فیشینگ از طریق پیوند Google Translate که توسط تلههای kaspersky گرفته شده است را بررسی کنیم:
فرستندههای ایمیل ادعا میکنند که پیوست نوعی سند پرداخت است که منحصراً در اختیار گیرنده است، که باید برای «ارائه جلسه قرارداد و پرداختهای بعدی» مطالعه شود. پیوند دکمه Open به سایتی که توسط Google Translate ترجمه شده است اشاره می کند. با این حال، این تنها با کلیک کردن بر روی آن مشخص می شود، زیرا در ایمیل به این شکل ظاهر می شود:
جمله بندی عجیب شاید عمدی باشد. تلاش مهاجمان برای ایجاد این تصور که انگلیسی زبان مادری نیستند تا پیوند Google Translate قانع کننده تر به نظر برسد. یا شاید آنها هرگز یک ایمیل واقعی با اسناد مالی ندیده اند. به دو پیوند زیر ("Unsubscribe From This List" و "Manage Email Preferences") و همچنین دامنه sendgrid.net در پیوند توجه کنید.
اینها نشانه هایی هستند که نشان می دهد پیام به صورت دستی ارسال نشده است، بلکه از طریق یک سرویس پستی قانونی ارسال شده است - در این مورد سرویس SendGrid، اما هر ESP دیگری می تواند مورد استفاده قرار گیرد. سرویسهایی از این نوع معمولاً از شهرت خود محافظت میکنند و به صورت دورهای کمپینهای ایمیلی را با هدف فیشینگ حذف میکنند و سازندگان آنها را مسدود میکنند. به همین دلیل است که مهاجمان پیوندهای خود را از طریق Google Translate اجرا می کنند - مکانیسم های امنیتی ESP یک دامنه قانونی Google را می بینند و سایت را مشکوک نمی دانند. به عبارت دیگر، این تلاشی است نه تنها برای فریب دادن هدف کاربر نهایی، بلکه فیلترهای سرویس واسطه.
پیوند به صفحه ترجمه شده توسط Google Translate چگونه است؟
مترجم گوگل (Google Translate) به شما این امکان را میدهد که کل وبسایتها را به سادگی با ارسال یک پیوند و انتخاب زبان مبدأ و مقصد ترجمه کنید. نتیجه یک پیوند به صفحهای است که دامنه اصلی در آن خط خط زده میشود، و URL با دامنه translate.goog تکمیل میشود و به دنبال آن نام صفحه اصلی و کلیدهایی که نشان میدهند ترجمه به کدام زبان و از کدام زبان انجام شده است، اضافه میشود. برای مثال، URL ترجمه اصلی وبلاگ انگلیسی زبان Kaspersky به اسپانیایی (www.kaspersky.com/blog) به شکل زیر خواهد بود:
www-kaspersky-com.translate.goog/blog/?_x_tr_sl=auto&_x_tr_tl=es&_x_tr_hl=en&_x_tr_pto=wapp.
ایمیل فیشینگ که kaspersky تجزیه و تحلیل کرده به دنبال جذب کاربر در اینجا بود:
نوار آدرس مرورگر، با وجود رشته ای از کاراکترهای آلوده، به وضوح نشان می دهد که پیوند توسط Google Translate ترجمه شده است.
چگونه ایمن بمانیم؟
برای اینکه کارمندان شرکت دچار ترفندهای مجرمانه سایبری نشوند، توصیه میکنیم دانش خود را در مورد تاکتیکهای فیشینگ (مثلاً با ارسال پیوندهای مرتبط به وبلاگ ما) بهطور دورهای تجدید کنید یا حتی بهتر از آن، آگاهی خود را از تهدیدات سایبری مدرن با کمک ابزارهای یادگیری تخصصی افزایش دهید. اتفاقاً، در مثال بالا، یک کاربر آموزش دیده هرگز به صفحه فیشینگ نمی رسد - شانس ارسال یک سند مالی قانونی خطاب به یک گیرنده خاص از طریق یک سرویس ESP در بهترین حالت بسیار اندک است. برای اطمینان بیشتر، علاوه این توصیه میکینم از راه حلهایی با فناوری ضد فیشینگ هم در سطح سرور ایمیل شرکتی و هم در همه دستگاههای کارمند استفاده کنید.