کمپین فیشینگ در مقیاس بزرگ از احراز هویت چندعاملی هم عبور می‌کند

29 تیر 1401 کمپین فیشینگ در مقیاس بزرگ از احراز هویت چندعاملی هم عبور می‌کند

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ محققین مایکروسافت از کمپین فیشینگ عظیمی رونمایی کردند که می‌تواند حتی درصورتیکه کاربر احراز هویت چندعاملی (MFA[1]) را فعال کرده باشد اطلاعات محرمانه را سرقت کند. این کمپین تاکنون سعی داشته بیش از ده هزار سازمان را دستکاری کند. با ما همراه باشید تا این اتفاق را مورد بررسی قرار دهیم.

این کمپین که از سپتامبر 2021 فعال است برای سرقت کوکی‌های سشن و اطلاعات محرمانه به کارکرد سایت‌های فیشینگ [2]AiTM متکی است. تیم  Microsoft 365 Defender Research از مرکز هوش تهدید مایکروسافت دیروز سه‌شنبه در پستی نوشت، «مهاجمین از آنجا می‌توانند برای پیشبرد حملات بعدی‌شان روی سایر تارگت‌ها به میل‌باکس‌های قربانیان دسترسی پیدا کنند». در حملات AiTM عامل تهدید یک پروکسی سرور را بین کاربر مورد هدف و وبسایتی که کاربر دوست دارد از آن دیدن کند –یعنی سایتی که مهاجم قرار است خود را جای آن بزند- به کار می‌بندد. به نقل از محققین، «چنین تنظیماتی به مهاجم اجازه می‌دهد تا پسورد و کوکی سشن هدف را که سشن جاری و تأییدشده آن‌ها را با وبسایت ثابت می‌کند سرقت و رهگیری کند».

مهم است به این مسئله نیز اشاره کنیم که چنین نوع حمله‌ای نشان‌دهنده آسیب‌پذیری در نوع MFA بکارگرفته‌شده از سوی سیستم ایمیل سازمانی نیست. فیشینگ AiTM کوکی سشن را می‌دزدد تا صرف‌نظر از متود SIGN IN که کاربر استفاده می‌کند مهاجم به جای کاربر در سشن احراز هویت شود.

به گفته یکی از متخصصین امنیتی، «به طور قطع مهاجمین حواسشان به استفاده بالای سازمان‌ها از احراز هویت چند عاملی برای امنیت‌دهی بهتر به اکانت‌های کاربری بوده و از این رو حملات فیشینگ‌ خود را طوری پیچیده کرده‌اند که راحت بشود MFA را دور زد».

اریک کرون مدافع آگاهی امنیتی در سازمان آموزش آگاهی امنیتی به نام  KnowBe4 در مصاحبه‌ای با Threatpost  چنین گفت، «درحالیکه MFA مطمئناً ارزشمند است و باید در صورت امکان از آن استفاده شود، با گرفتن رمز عبور و کوکی سشن- و چون کوکی سشن نشان می‌دهد که MFA قبلاً برای ورود به سیستم استفاده شده است - مهاجمان اغلب می توانند هنگام ورود به حساب کاربری نیاز به MFA را دور بزنند».

بررسی فیشینگ AiTM

محققین مایکروسافت طی مشاهده این کمپین به تفصیل به بررسی ساز و کار این حملات و اینکه چطور برای حملات ثانویه BEC (دستکاری ایمیل سازمانی) بعد از اینکه دسترسی اولیه به اکانت فرد میسر شد مورد استفاده قرار می‌گیرند پرداختند. حملات فیشینگ AiTM به سشنی بستگی دارند که هر وب‌سرویس مدرنی بعد از احراز هویت موفق روی کاربرش پیاده‌سازی می‌کند تا او نیازی نداشته باشد در هر صفحه جدید که بازدید می‌کند احراز هویت شود. به نقل از محققین، «کارکرد این سشن از طریق کوکی سشن ارائه‌شده توسط سرویس احراز هویت بعد از احراز اولیه پیاده‌سازی می‌شود. این سشن به وب‌سرور اثبات می‌کند که کاربر احراز شده و در وبسایت سشنی در جریان دارد».

در یک فیشینگ AiTM، مهاجم تلاش دارد کوکی سشن کاربر مورد هدف خود را سرقت کند تا بتواند کل پروسه احراز را دور بزند و طوری وانمود کند که گویی کاربری است احرازشده و قانونی. محققین می‌گویند، «مهاجم برای انجام این کار وب‌سروری را به کار می‌گیرد که از کاربری که سایت فیشینگ را بازدید کرده پکت‌های HTTP را پروسکی می‌کند تا سروری را که قصد دارد خود را جای آن بزند مورد هدف قرار گیرد یا بالعکس. بدین‌ترتیب سایت فیشینگ به لحاظ بصری درست مانند وبسایت اورجینال خواهد بود (زیرا هر HTTP از/به وبسایت اورجینال پروکسی می‌شود)». این حمله خصوصاً برای عوامل تهدید راحت است زیرا دیگر نیازی ندارند سایت فیشینگ مخصوص به خود را بسازند مانند آن‌هایی که در کمپین‌های همیشگی فیشینگ استفاده می‌شوند.

بردار حمله خاص

مهاجمین در کمپین فیشینگ مشاهده‌شده توسط محققین مایکروسافت با ارسال ایمیل با پیوست فایل HTML به چند گیرنده در سازمان‌های مختلف اولین تماس خود را با قربانیان بالقوه شروع کردند. این پیام ادعا داشت گیرندگان پیام صوتی دارند و باید برای دسترسی به آن وی پیوست کلیک کنند یا اینکه در غیر این صورت پیام ظرف چند ساعت پاک خواهد شد. اگر کاربر روی لینک کلیک کند به سایتی هدایت خواهد شد که به او می‌گوید ظرف یک ساعت دوباره به میل‌باکس حاوی پیام صوتی هدایت خواهد شد. در همین حال از کاربر اطلاعات محرمانه‌شان نیز درخواست می‌شود.

در این نقطه اما مهاجم با استفاده از کدینگ هوشمندانه‌ای کاری منحصر به فرد انجام می‌دهد: پر کردن پیج لندینگ فیشینگ به صورت خودکار با آدرس ایمیل کاربر. بدین‌ترتیب قلاب مهندسی اجتماعی مهاجم ارتقا می‌یابد. اگر تارگت اطلاعات محرمانه خود را وارد کند و احراز شود به پیج رسمی مایکروسافت ریدایرکت خواهد شد. با این وجود، در پس‌زمینه مهاجم اطلاعات را رهگیری کرده و به جای کاربر احراز هویت می‌شود و برای اجرای فعالیت‌های بعدی خود آزادانه حکمرانی خواهد کرد. عامل تهدید در زنجیره ایمیل فیشینگ که محققین مشاهده کرده‌اند از احراز هویت برای انجام کلاهبرداری پرداختی در حملات ثانویه از داخل سازمان استفاده کرده است.

حملات ثانویه دستکاری ایمیل سازمانی و کلاهبرداری پرداختی

مهاجمین بعد از سرقت سشن‌ها و اطلاعات محرمانه فقط 5 دقیقه طول کشید تا شروع کنند به اجرای کلاهبرداری پرداختی و حمله BEC (با احراز هویت در OUTLOOK برای دسترسی به ایمیل‌های سازمانی و پیوست‌های فایل). روز بعد آن‌ها به این ایمیل‌ها و فایل‌ها هر چند ساعت یکبار دسترسی پیدا کردند تا برای اجرای مقاصد شرورانه خود فرصت خوبی را پیدا کنند. عامل تهدید همچنین ایمیل فیشینگ اورجینال را از فولدر اینباکس اکانت دستکاری‌شده که فرستاده بودند پاک کرد تا کسی از دسترسی اولیه‌شان رد و اثری پیدا نکند. این فعالیت‌ها نشان می‌دهد مهاجمین سعی داشتند به طور دستی کلاهبرداری پرداختی خود را جلو ببرند. همچنین آن‌ها از دسترسی وب Outlook روی مرورگر کروم برای اجرای کلاهبرداری پرداختی حین استفاده از کوکی سشن سرقتی از اکانت دستکاری‌شده استفاده کردند.

 

[1] multi-factor authentication

[2]  adversary-in-the-middle

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,238,100 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    10,860,600 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,086,060 ریال10,860,600 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    72,443,100 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,246,500 ریال20,493,000 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    14,693,550 ریال29,387,100 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    15,718,200 ریال31,436,400 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    65,201,550 ریال130,403,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    78,242,550 ریال156,485,100 ریال
    خرید
  • Kaspersky Small Office Security

    250,670,100 ریال
    خرید
  • Kaspersky Small Office Security

    91,283,550 ریال182,567,100 ریال
    خرید
  • Kaspersky Small Office Security

    291,966,600 ریال
    خرید
  • Kaspersky Small Office Security

    104,324,550 ریال208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    333,987,600 ریال
    خرید
  • Kaspersky Small Office Security

    117,365,550 ریال234,731,100 ریال
    خرید
  • Kaspersky Small Office Security

    375,284,100 ریال
    خرید
  • Kaspersky Small Office Security

    119,539,050 ریال239,078,100 ریال
    خرید
  • Kaspersky Small Office Security

    382,529,100 ریال
    خرید
  • Kaspersky Small Office Security

    168,442,800 ریال336,885,600 ریال
    خرید
  • Kaspersky Small Office Security

    539,021,100 ریال
    خرید
  • Kaspersky Small Office Security

    217,346,550 ریال434,693,100 ریال
    خرید
  • Kaspersky Small Office Security

    695,513,100 ریال
    خرید
  • Kaspersky Small Office Security

    262,627,800 ریال525,255,600 ریال
    خرید
  • Kaspersky Small Office Security

    840,413,100 ریال
    خرید
  • Kaspersky Small Office Security

    498,090,300 ریال996,180,600 ریال
    خرید
  • Kaspersky Small Office Security

    1,593,893,100 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد