உனா வெஸ் மாஸ், வீடியோ கேம் ஆராய்ச்சியாளர்கள் ஒரு "புதுமையான" ஃபிஷிங் நுட்பத்தைக் கண்டுபிடித்தனர் (ஸ்பூஃபிங்) இது மோசடி செய்பவர்களின் நோக்கங்களை மறைக்கும் ஒரு நல்ல வேலையைச் செய்கிறது.
வீடியோ கேம்களுக்கான உலகின் மிகப்பெரிய டிஜிட்டல் விநியோக தளங்களில் ஒன்றாக, நீராவி நண்பர் பட்டியல்கள் மற்றும் பிற பயனர்களுடன் விளையாட்டு உருப்படிகளை பரிமாறிக்கொள்ளும் திறன் போன்ற பல்வேறு சமூக யுஎக்ஸ் கூறுகளை கொண்டுள்ளது.
சமூகத்தின் மீதான இந்த வலுவான கவனம், பெருகிய முறையில் நெரிசலான சந்தையில் நீராவி தனித்து நிற்க உதவியது என்றாலும், பயனர்களை ஏமாற்றும் நடைமுறைகளுக்கு இது திறந்து விடுகிறது.
மேடையில் கண்காணிப்பு தேவை மீண்டும் வார இறுதியில் எப்போது எச்சரிக்கப்பட்டது 'ஆரம்' என்ற பெயரில் 22 வயதான கணினி அறிவியல் மாணவர் நீராவிக்கான புதிய ஃபிஷிங் மோசடி விவரங்களை வழங்கினார்.
நீராவி கணக்குகளைத் திருட ஒரு வலைத்தளம்
ஆராய்ச்சியாளரின் கூற்றுப்படி, ஃபிஷிங் தளம் செல்லுபடியாகும் எஸ்எஸ்எல் சான்றிதழைக் கொண்டு பயனர்களை முட்டாளாக்க முயன்றது மட்டுமல்லாமல், ஜாவாஸ்கிரிப்ட்டின் ஒரு சிறிய பகுதியும் இது சேவையகம் பெரிதும் ஏற்றப்பட்டதாகக் கூறி பாப்-அப் சாளரத்தை உருவாக்கும் மற்றும் பாதிக்கப்பட்டவரை அவர்களின் நீராவி கணக்கில் உள்நுழையச் சொல்லும். தளத்திற்கான அணுகலுக்காக.
ஆரூமின் வார்த்தைகளில் அவர் அதை எவ்வாறு உணர்ந்தார் என்பதை விவரிக்கிறார்:
"அரட்டை நேரடியானதாகத் தோன்றியது, மோசடி செய்பவர் எனக்கு வெளிப்படையாக லாபகரமான வர்த்தகத்தை வழங்க விரும்பினார் (சில காரணங்களால் அவர்களை டிஸ்கார்டில் சேர்க்க அவர்கள் என்னை முயற்சித்துக்கொண்டே இருந்தனர்).
“வர்த்தகம்” கலந்துரையாடலின் முடிவில், ஒரு வசதியான நீராவி விலை வலைத்தளத்தில் உள்நுழையும்படி என்னிடம் கேட்கப்பட்டது, இதனால் எனது பொருள் எவ்வளவு மதிப்பு வாய்ந்தது என்பதை அவர்கள் அறிந்து கொள்ள முடியும்.
ஃபிஷிங் தளம், https://tradeit.cash. வலைத்தளம் அடிப்படையில் ஒரு நியாயமான நீராவி வலைத்தளமான https://skins.cash இன் நகலாகும். "
என்றாலும் மோசடி செய்பவர்கள் முறையான தேடும் பாப்அப்பை உருவாக்கினர், பணிப்பட்டியில் Chrome இன் இரண்டு நிகழ்வுகளை இது ஏற்படுத்தவில்லை என்றும், அது "ஃபிஷிங் வலைத்தளத்திற்குள் ஒரு சாளரம் மட்டுமே" என்றும் ஆரம் கண்டறிந்தார்.
"அவர்கள் Chrome UI உறுப்புகளுக்கு சில பொத்தான்களை உருவாக்கியிருந்தனர்," என்று அவர் கூறினார். "பாப்-அப் சாளரத்தின் தலைப்புப் பட்டியில் வலது கிளிக் செய்ய முயற்சிக்கும்போது இது உறுதிப்படுத்தப்பட்டது, இது ஒரு வலைப்பக்கத்தின் வலது கிளிக் சூழல் மெனுவைத் திறந்தது."
ஹேக்கர்கள் தங்கள் ஃபிஷிங் தளத்தை கிளவுட்ஃபேரில் ஹோஸ்ட் செய்ய நேரத்தையும் "தொந்தரவையும்" எடுத்துக் கொண்டனர், மேலும் கிளவுட்ஃபேர் எஸ்எஸ்எல் சான்றிதழைப் பயன்படுத்தவும் தேர்வுசெய்தார்கள்.
ஃபிஷிங் ஒரு பாப்-அப் மூலம் தொடங்கியது, அது "ஃபிஷிங்" தளம் அதிக சுமை கொண்டதாகக் கூறி, நீராவியில் உள்நுழையச் சொன்னது.
போலி வலைத்தளம் பற்றி
நீராவி ஃபிஷிங் தளம் பிக்சர்-இன்-பிக்சர் ஃபிஷிங் நுட்பத்தைப் பயன்படுத்தியது தோல்விகள் இல்லாமல் OpenID உள்நுழைவுத் திரையை உருவகப்படுத்த.
ஆரம்பத்தில் இருந்தே போலி என்று நம்பிய தளம் ஓபன்ஐடி நீராவி உள்நுழைவு பாப்-அப் திறக்கப்படுவதால், ஏதோ தவறு இருப்பதாக ஆரம் உணர்ந்தார்.
இந்த இயற்கையின் தாக்குதல்கள் நிச்சயமாக புதிதல்ல. இதேபோன்ற நுட்பம் 2007 முதல் இந்த ஆவணத்தில் விவரிக்கப்பட்டுள்ளது.
பயனர்கள் தங்கள் கணக்குகளை பாதுகாப்பாக வைத்திருக்க உதவும் நோக்கில் விரிவான வழிகாட்டியை நீராவி ஏற்கனவே கொண்டுள்ளது.
தளம் தற்போது ஆஃப்லைனில் உள்ளது ஏனென்றால் சில மணிநேரங்களுக்கு முன்பு டி.என்.எஸ் பதிவு அகற்றப்பட்டது.
பேரிக்காய் ஒரு பயனருக்கு தளத்தின் ஸ்னாப்ஷாட் மற்றும் எல்லா குறியீடுகளும் அகற்றப்படுவதற்கு முன்பு கிடைத்தது, மற்றும் கிட்ஹப்பில் பகிர்வதற்கான சுதந்திரத்தை எடுத்துக் கொண்டது. இணைப்பு இது.
இது மிகவும் எளிமையான குறியீடு, இறுதியில்.
ஹேக்கர்கள் முறையான வர்த்தக தளத்தையும் நீராவி சமூக உள்நுழைவு பக்கத்தையும் நகலெடுத்து, பின்னர் ஜாவாஸ்கிரிப்ட் குறியீட்டை இரண்டிலும் சேர்த்தனர், அத்துடன் HTML ஐ சிறிது மாற்றியமைத்தனர்.
மொத்தத்தில், மூன்று JS துணுக்குகள் சேர்க்கப்பட்டன: முதல் கண்டறிதல் பிழைத்திருத்தங்கள் (அசல் வலைப்பதிவு சுவரொட்டியைக் கண்டறிந்த பிட்), இரண்டாவது போலி உலாவியைத் திறந்து போலி உள்நுழைவு பக்கத்தை ஒரு ஐஃப்ரேமுக்குள் ஒட்டுகிறது, மூன்றாவது (ஐஃப்ரேமில் இயங்கும்) நகலெடுக்கப்பட்ட நீராவி உள்நுழைவிலிருந்து பக்கத்திலிருந்து சான்றுகளை சேகரிக்கிறது.
என் பாட்டி சொல்வது போல், அழகு எளிமையாக உள்ளது. எளிய, பயனுள்ள மற்றும் அழகான, குறியீட்டின் ஒரு பகுதி.
நான் முழு கட்டுரையையும் படித்தேன்… மேலும் இது லினக்ஸுடன் என்ன தொடர்புடையது?