حملات تلفنی به Okta,Microsoft,Google برای سرقت داده

حملات تلفنی به Okta,Microsoft,Google برای سرقت داده
گروه با تماس جعلی «پشتیبانی IT» کاربران را به صفحه فیشینگ می‌کشاند و با گرفتن MFA، به SSO نفوذ کرده و داده‌های SaaS را برای اخاذی استخراج می‌کند.

باند اخاذی ShinyHunters اعلام کرده پشت موجی از حملات «Voice Phishing / Vishing» علیه حساب‌های Single Sign-On در پلتفرم‌هایی مانند Okta،Microsoft Entra و Google قرار دارد؛ حملاتی که با جعل هویت تیم IT و هدایت قربانی به صفحات ورود جعلی، اعتبارنامه و کدهای MFA را در لحظه سرقت می‌کند. مهاجمان پس از ورود به داشبورد SSO، فهرست اپلیکیشن‌های متصل را بررسی کرده و داده‌های سرویس‌های SaaS سازمان را برداشت می‌کنند و سپس درخواست اخاذی ارسال می‌شود. Okta در گزارشی، کیت‌های فیشینگی را تشریح کرده که به مهاجم اجازه می‌دهد محتوای صفحه جعلی را هم‌زمان با مکالمه تلفنی تغییر دهد.

گروه اخاذی ShinyHunters مدعی شده است مسئول بخشی از موج تازه حملات «ویشینگ» علیه حساب‌های Single Sign-On (SSO) در سرویس‌هایی مانند Okta،Microsoft Entra و Google است؛ حملاتی که با مهندسی اجتماعی تلفنی و سوءاستفاده از فرآیندهای احراز هویت چندمرحله‌ای (MFA) می‌تواند به نفوذ در پلتفرم‌های ابری سازمان‌ها و سرقت داده برای اخاذی منجر شود. گزارش‌های منتشرشده نشان می‌دهد مهاجمان با جا زدن خود به‌عنوان پشتیبانی IT با کارکنان تماس می‌گیرند و آن‌ها را متقاعد می‌کنند برای «رفع مشکل دسترسی» وارد یک پورتال ورود شوند؛ پورتی که در واقع یک صفحه فیشینگ مشابه درگاه ورود واقعی شرکت است.

در این سناریو، هدف فقط گرفتن نام کاربری و گذرواژه نیست. نقطه اتکای حمله، گرفتن سیگنال MFA به‌صورت «هم‌زمان» است: قربانی هنگام تماس تلفنی، کد یکبارمصرف (TOTP)، پیامک، یا تأیید Push را انجام می‌دهد و مهاجم همان لحظه از آن برای ورود به سرویس واقعی استفاده می‌کند. نتیجه، تصاحب حساب SSO است؛ حسابی که معمولاً به ده‌ها سرویس سازمانی متصل است و می‌تواند به «دروازه ورود» به محیط‌های SaaS تبدیل شود.

SSO در بسیاری از سازمان‌ها برای یکپارچه‌سازی احراز هویت استفاده می‌شود تا کارمندان با یک ورود به مجموعه‌ای از سرویس‌های داخلی و ابری دسترسی داشته باشند. در داشبوردهای SSO، فهرست اپلیکیشن‌های متصل معمولاً روشن و در دسترس کاربر است و همین موضوع در صورت تصاحب حساب، به مهاجم دید مستقیم می‌دهد: از Microsoft 365 و Google Workspace گرفته تا Salesforce،Dropbox،Adobe،SAP،Slack،Zendesk و Atlassian و ده‌ها سرویس دیگر که بسته به نقش کاربر می‌توانند حاوی داده‌های حساس سازمان باشند.

طبق اطلاعات منتشرشده، پس از دسترسی به SSO، مهاجمان با مرور سرویس‌های متصل، شروع به استخراج داده از پلتفرم‌هایی می‌کنند که همان کاربر به آن‌ها دسترسی دارد. در چند پرونده، شرکت‌های قربانی پس از این نفوذها «درخواست اخاذی» با امضای ShinyHunters دریافت کرده‌اند؛ موضوعی که به‌عنوان یکی از قرائن نسبت دادن این حملات به این گروه مطرح شده است.

در بخش «انتساب» (Attribution)، گزارش‌ها تأکید دارند که ShinyHunters به رسانه‌ها اعلام کرده «در پشت حملات است»، هرچند از ارائه جزئیات عملیاتی خودداری کرده و گفته است تمرکز اصلی‌اش Salesforce و سایر پلتفرم‌های این دسترسی‌ها هستند. این ادعاها در حالی مطرح می‌شود که در بسیاری از پرونده‌های مشابه، مرز بین باندهای اخاذی و زیرگروه‌های عملیاتی مبهم است و معمولاً بخشی از عملیات به شبکه‌ای از تأمین‌کنندگان زیرساخت، کیت‌ها و اپراتورها متکی است.

واکنش فروشندگان نیز یکدست نبوده است. Okta در پاسخ به پرسش‌ها درباره پرونده‌های مشخص، از اظهار نظر درباره «حملات سرقت داده» خودداری کرده؛ اما هم‌زمان گزارشی منتشر کرده که کیت‌های فیشینگ مورد استفاده در حملات تلفنی را تشریح می‌کند؛ کیت‌هایی که به گفته Okta دارای یک «پنل کنترل وبی» هستند و به مهاجم امکان می‌دهند هم‌زمان با مکالمه تلفنی، آنچه قربانی روی صفحه فیشینگ می‌بیند را به‌صورت پویا تغییر دهد.

مطابق توضیح Okta، این توانایی پویا برای عبور از MFA حیاتی است: اگر مهاجم پس از وارد کردن گذرواژه در سرویس واقعی با چالش MFA مواجه شود، می‌تواند در لحظه روی صفحه جعلی پیام جدیدی نمایش دهد تا قربانی را به «تأیید Push»، «وارد کردن کد TOTP» یا مراحل دیگر هدایت کند. این مدل حمله، به‌جای شکستن MFA، از «همراه‌سازی قربانی» برای تکمیل MFA استفاده می‌کند و به همین دلیل، بیش از هر چیز به کیفیت سناریوی مهندسی اجتماعی، اطلاعات زمینه‌ای درباره کارکنان، و زمان‌بندی دقیق وابسته است.

در سوی دیگر، Google اعلام کرده در حال حاضر نشانه‌ای مبنی بر اینکه خود Google یا محصولاتش تحت تأثیر این کمپین قرار گرفته باشند ندارد؛ و Microsoft نیز گفته فعلاً موضوعی برای اعلام ندارد. این موضع‌گیری‌ها به معنی بی‌خطر بودن حمله نیست، بلکه می‌تواند نشان‌دهنده تمرکز حمله روی «حساب‌ها و فرایندهای سازمان‌ها» (Identity layer و رفتار کاربر) باشد نه وجود نقص فنی در خود محصولات.

یکی از نکات کلیدی در روایت ShinyHunters، استفاده از داده‌های سرقت‌شده در نفوذهای قبلی برای افزایش اثربخشی تماس‌های تلفنی است. در چنین الگوهایی، داشتن شماره تلفن، عنوان شغلی، نام و زمینه سازمانی قربانی باعث می‌شود تماس «باورپذیر» شود و قربانی کمتر به جعلی بودن ارتباط شک کند. این بخش از زنجیره حمله نشان می‌دهد چرا نشت‌های اطلاعاتی قدیمی می‌توانند ماه‌ها یا حتی سال‌ها بعد، به‌عنوان سوخت مهندسی اجتماعی دوباره به کار گرفته شوند.

هم‌زمان با این تحولات، ShinyHunters طبق گزارش‌ها «سایت نشت داده» خود در Tor را دوباره فعال کرده و نام چند هدف را در فهرست خود قرار داده است. در همین چارچوب، به مواردی مانند SoundCloud،Betterment و Crunchbase اشاره شده است. در پرونده Crunchbase، این شرکت اعلام کرده وقوع یک حادثه امنیت سایبری را شناسایی کرده که طی آن عامل تهدید «برخی اسناد» را از شبکه سازمانی استخراج کرده است؛ شرکت همچنین گفته عملیات کسب‌وکار مختل نشده، حادثه مهار شده، و موضوع با کمک کارشناسان امنیتی و تماس با مجریان قانون، پیگیری می‌شود و بررسی برای تعیین الزامات اطلاع‌رسانی ادامه دارد.

نکته تخخصی این پرونده برای تیم‌های امنیت و مدیران فناوری اطلاعات این است که موج جدید بیش از آنکه یک «آسیب‌پذیری نرم‌افزاری» باشد، یک «زنجیره حمله مبتنی بر هویت» است: مهاجم با فیشینگ تلفنی، MFA را دور نمی‌زند بلکه آن را از طریق قربانی «اجرا» می‌کند؛ سپس از یک حساب SSO به‌عنوان سکوی پرش برای دسترسی به اپلیکیشن‌های سازمانی استفاده می‌کند. بنابراین، کنترل‌های دفاعی نیز باید روی سخت‌سازی فرایندهای احراز هویت، کاهش سطح دسترسی، و دشوار کردن تأییدهای لحظه‌ای مبتنی بر انسان متمرکز شوند.

4 بهمن 1404

بازدید