کمپین فیشینگ در مقیاس بزرگ از احراز هویت چندعاملی هم عبور می‌کند

29 تیر 1401 کمپین فیشینگ در مقیاس بزرگ از احراز هویت چندعاملی هم عبور می‌کند

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ محققین مایکروسافت از کمپین فیشینگ عظیمی رونمایی کردند که می‌تواند حتی درصورتیکه کاربر احراز هویت چندعاملی (MFA[1]) را فعال کرده باشد اطلاعات محرمانه را سرقت کند. این کمپین تاکنون سعی داشته بیش از ده هزار سازمان را دستکاری کند. با ما همراه باشید تا این اتفاق را مورد بررسی قرار دهیم.

این کمپین که از سپتامبر 2021 فعال است برای سرقت کوکی‌های سشن و اطلاعات محرمانه به کارکرد سایت‌های فیشینگ [2]AiTM متکی است. تیم  Microsoft 365 Defender Research از مرکز هوش تهدید مایکروسافت دیروز سه‌شنبه در پستی نوشت، «مهاجمین از آنجا می‌توانند برای پیشبرد حملات بعدی‌شان روی سایر تارگت‌ها به میل‌باکس‌های قربانیان دسترسی پیدا کنند». در حملات AiTM عامل تهدید یک پروکسی سرور را بین کاربر مورد هدف و وبسایتی که کاربر دوست دارد از آن دیدن کند –یعنی سایتی که مهاجم قرار است خود را جای آن بزند- به کار می‌بندد. به نقل از محققین، «چنین تنظیماتی به مهاجم اجازه می‌دهد تا پسورد و کوکی سشن هدف را که سشن جاری و تأییدشده آن‌ها را با وبسایت ثابت می‌کند سرقت و رهگیری کند».

مهم است به این مسئله نیز اشاره کنیم که چنین نوع حمله‌ای نشان‌دهنده آسیب‌پذیری در نوع MFA بکارگرفته‌شده از سوی سیستم ایمیل سازمانی نیست. فیشینگ AiTM کوکی سشن را می‌دزدد تا صرف‌نظر از متود SIGN IN که کاربر استفاده می‌کند مهاجم به جای کاربر در سشن احراز هویت شود.

به گفته یکی از متخصصین امنیتی، «به طور قطع مهاجمین حواسشان به استفاده بالای سازمان‌ها از احراز هویت چند عاملی برای امنیت‌دهی بهتر به اکانت‌های کاربری بوده و از این رو حملات فیشینگ‌ خود را طوری پیچیده کرده‌اند که راحت بشود MFA را دور زد».

اریک کرون مدافع آگاهی امنیتی در سازمان آموزش آگاهی امنیتی به نام  KnowBe4 در مصاحبه‌ای با Threatpost  چنین گفت، «درحالیکه MFA مطمئناً ارزشمند است و باید در صورت امکان از آن استفاده شود، با گرفتن رمز عبور و کوکی سشن- و چون کوکی سشن نشان می‌دهد که MFA قبلاً برای ورود به سیستم استفاده شده است - مهاجمان اغلب می توانند هنگام ورود به حساب کاربری نیاز به MFA را دور بزنند».

بررسی فیشینگ AiTM

محققین مایکروسافت طی مشاهده این کمپین به تفصیل به بررسی ساز و کار این حملات و اینکه چطور برای حملات ثانویه BEC (دستکاری ایمیل سازمانی) بعد از اینکه دسترسی اولیه به اکانت فرد میسر شد مورد استفاده قرار می‌گیرند پرداختند. حملات فیشینگ AiTM به سشنی بستگی دارند که هر وب‌سرویس مدرنی بعد از احراز هویت موفق روی کاربرش پیاده‌سازی می‌کند تا او نیازی نداشته باشد در هر صفحه جدید که بازدید می‌کند احراز هویت شود. به نقل از محققین، «کارکرد این سشن از طریق کوکی سشن ارائه‌شده توسط سرویس احراز هویت بعد از احراز اولیه پیاده‌سازی می‌شود. این سشن به وب‌سرور اثبات می‌کند که کاربر احراز شده و در وبسایت سشنی در جریان دارد».

در یک فیشینگ AiTM، مهاجم تلاش دارد کوکی سشن کاربر مورد هدف خود را سرقت کند تا بتواند کل پروسه احراز را دور بزند و طوری وانمود کند که گویی کاربری است احرازشده و قانونی. محققین می‌گویند، «مهاجم برای انجام این کار وب‌سروری را به کار می‌گیرد که از کاربری که سایت فیشینگ را بازدید کرده پکت‌های HTTP را پروسکی می‌کند تا سروری را که قصد دارد خود را جای آن بزند مورد هدف قرار گیرد یا بالعکس. بدین‌ترتیب سایت فیشینگ به لحاظ بصری درست مانند وبسایت اورجینال خواهد بود (زیرا هر HTTP از/به وبسایت اورجینال پروکسی می‌شود)». این حمله خصوصاً برای عوامل تهدید راحت است زیرا دیگر نیازی ندارند سایت فیشینگ مخصوص به خود را بسازند مانند آن‌هایی که در کمپین‌های همیشگی فیشینگ استفاده می‌شوند.

بردار حمله خاص

مهاجمین در کمپین فیشینگ مشاهده‌شده توسط محققین مایکروسافت با ارسال ایمیل با پیوست فایل HTML به چند گیرنده در سازمان‌های مختلف اولین تماس خود را با قربانیان بالقوه شروع کردند. این پیام ادعا داشت گیرندگان پیام صوتی دارند و باید برای دسترسی به آن وی پیوست کلیک کنند یا اینکه در غیر این صورت پیام ظرف چند ساعت پاک خواهد شد. اگر کاربر روی لینک کلیک کند به سایتی هدایت خواهد شد که به او می‌گوید ظرف یک ساعت دوباره به میل‌باکس حاوی پیام صوتی هدایت خواهد شد. در همین حال از کاربر اطلاعات محرمانه‌شان نیز درخواست می‌شود.

در این نقطه اما مهاجم با استفاده از کدینگ هوشمندانه‌ای کاری منحصر به فرد انجام می‌دهد: پر کردن پیج لندینگ فیشینگ به صورت خودکار با آدرس ایمیل کاربر. بدین‌ترتیب قلاب مهندسی اجتماعی مهاجم ارتقا می‌یابد. اگر تارگت اطلاعات محرمانه خود را وارد کند و احراز شود به پیج رسمی مایکروسافت ریدایرکت خواهد شد. با این وجود، در پس‌زمینه مهاجم اطلاعات را رهگیری کرده و به جای کاربر احراز هویت می‌شود و برای اجرای فعالیت‌های بعدی خود آزادانه حکمرانی خواهد کرد. عامل تهدید در زنجیره ایمیل فیشینگ که محققین مشاهده کرده‌اند از احراز هویت برای انجام کلاهبرداری پرداختی در حملات ثانویه از داخل سازمان استفاده کرده است.

حملات ثانویه دستکاری ایمیل سازمانی و کلاهبرداری پرداختی

مهاجمین بعد از سرقت سشن‌ها و اطلاعات محرمانه فقط 5 دقیقه طول کشید تا شروع کنند به اجرای کلاهبرداری پرداختی و حمله BEC (با احراز هویت در OUTLOOK برای دسترسی به ایمیل‌های سازمانی و پیوست‌های فایل). روز بعد آن‌ها به این ایمیل‌ها و فایل‌ها هر چند ساعت یکبار دسترسی پیدا کردند تا برای اجرای مقاصد شرورانه خود فرصت خوبی را پیدا کنند. عامل تهدید همچنین ایمیل فیشینگ اورجینال را از فولدر اینباکس اکانت دستکاری‌شده که فرستاده بودند پاک کرد تا کسی از دسترسی اولیه‌شان رد و اثری پیدا نکند. این فعالیت‌ها نشان می‌دهد مهاجمین سعی داشتند به طور دستی کلاهبرداری پرداختی خود را جلو ببرند. همچنین آن‌ها از دسترسی وب Outlook روی مرورگر کروم برای اجرای کلاهبرداری پرداختی حین استفاده از کوکی سشن سرقتی از اکانت دستکاری‌شده استفاده کردند.

 

[1] multi-factor authentication

[2]  adversary-in-the-middle

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security

    ایمن بمانید- هرآنچه در محل کار و خانه انجام می‌دهید هرآنچه در محیط آنلاین انجام می‌دهید- روی دستگاه‌های پی‌سی، مک و اندروید- بسته‌ی امنیتی پیشرفته و تک‌لایسنسیِ ما به شما کمک ...

    3,193,086 ریال10,643,620 ریال
    خرید
  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    1,063,686 ریال3,545,620 ریال
    خرید
  • Kaspersky Total Security

    قوی‌ترین و پرفروش‌ترین مجموعه‌‌ امنیتی ما امنیت خانواده چنددستگاهه مجهز به آنتی‌ویروس، ضدباج‌افزار، امنیت وبکم، مدیر کلمه‌عبور و 87 فناوری دیگر، همگی با یک لایسنس. ...

    4,257,786 ریال14,192,620 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    5,320,120 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    5,320,120 ریال
    خرید
  • Kaspersky Antivirus

    بهترین آنتی‌ویروس ما برای ویندوز پی‌سی شما جدیدترین ویروس‌ها، باج افزارها، جاسوس‌افزارها، رمزگرها و غیره را بلاک کرده و کمک می‌کند جلوی بدافزار ماینینگِ رمزارز -که به ...

    2,128,386 ریال7,094,620 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    3,832,920 ریال12,776,400 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد