حملات جدید فیشینگ بدون سرقت رمز عبور انجام می‌شوند

کمیته رکن چهارم – پژوهشگران امنیت سایبری از فعالیت یک پلتفرم فیشینگ به‌عنوان سرویس (PhaaS) با نام EvilTokens خبر داده‌اند که تنها طی چند هفته بیش از ۳۴۰ سازمان Microsoft 365 را هدف قرار داده است.

به گزارش کمیته رکن چهارم، این حملات با سوءاستفاده از مکانیزم OAuth و فرآیند ورود قانونی Microsoft انجام می‌شود. قربانیان پیامی دریافت می‌کنند که از آن‌ها می‌خواهد یک کد کوتاه را در آدرس رسمی microsoft.com/devicelogin وارد کرده و فرآیند MFA را تکمیل کنند.

کاربران تصور می‌کنند در حال تأیید یک ورود عادی هستند، اما در واقع یک refresh token معتبر در اختیار مهاجم قرار می‌دهند؛ توکنی که می‌تواند دسترسی طولانی‌مدت به ایمیل، فایل‌ها، تقویم و مخاطبان قربانی ایجاد کند.

پژوهشگران این روش را «Consent Phishing» یا سوءاستفاده از مجوز OAuth می‌نامند. در این حمله، مهاجم نیازی به سرقت رمز عبور یا دور زدن MFA ندارد، زیرا کاربر در دامنه واقعی Microsoft احراز هویت را انجام می‌دهد و سپس به‌صورت داوطلبانه دسترسی OAuth را تأیید می‌کند.

کارشناسان هشدار داده‌اند که بسیاری از سازمان‌ها هنوز کنترل‌های امنیتی خود را بر پایه سرقت اعتبارنامه طراحی کرده‌اند، در حالی‌که حملات جدید مبتنی بر OAuth و tokenها از لایه‌های سنتی دفاع عبور می‌کنند.

بررسی‌ها نشان می‌دهد refresh tokenهای سرقت‌شده حتی پس از تغییر رمز عبور نیز ممکن است برای هفته‌ها یا ماه‌ها معتبر باقی بمانند، مگر آن‌که به‌صورت مستقیم لغو شوند یا سیاست‌های Conditional Access تغییر کند.

پژوهشگران همچنین هشدار داده‌اند که افزایش استفاده از ابزارهای هوش مصنوعی، browser extensionها و integrationهای SaaS باعث شده کاربران به صفحات consent عادت کنند و همین موضوع تشخیص درخواست‌های مخرب را دشوارتر کرده است.

پیش‌زمینه

OAuth و مکانیزم‌های consent سال‌هاست در سرویس‌های ابری و SaaS برای اتصال برنامه‌ها و ابزارهای ثالث استفاده می‌شوند. با گسترش سرویس‌های مبتنی بر AI و integrationهای خودکار، تعداد درخواست‌های دسترسی OAuth به‌شدت افزایش یافته و به سطح حمله جدیدی برای مهاجمان تبدیل شده است.

جمع‌بندی

کارشناسان امنیتی معتقدند حملات Consent Phishing به‌سرعت در حال تبدیل شدن به یکی از مهم‌ترین تهدیدهای سازمانی هستند. آن‌ها توصیه می‌کنند سازمان‌ها OAuth grantها، integrationهای AI و tokenهای فعال را همانند فرآیندهای احراز هویت به‌صورت مداوم پایش و مدیریت کنند.