هنگام بررسی آدرس سایت کافی نیست: حمله فیشینگ از طریق پلتفرم هویت مایکروسافت

Kaspersky SecurelistGlobal3 دقیقه مطالعه۱۴۰۵/۰۴/۲۵ ساعت ۰۰:۲۸

تصویر مرتبط با خبر: When checking the URL isn't enough: phishing via the Microsoft identity platform
تصویر مرتبط با خبر: When checking the URL isn't enough: phishing via the Microsoft identity platform
خلاصه سریع

اصل خبر در چند خط

مهاجمان از مکانیسم «اعطای مجوز دستگاه» در پلتفرم هویت مایکروسافت برای انجام حملات فیشینگ استفاده می‌کنند. این مکانیسم که بر پایه پروتکل OAuth 2.0 کار می‌کند، برای دستگاه‌های بدون صفحه‌کلید مانند تلویزیون‌های هوشمند طراحی شده است. کاربر کد یکبار مصرف را در صفحه‌ای معتبر مانند microsoft.com/devicelogin وارد می‌کند تا دسترسی دستگاه را تأیید کند. مهاجم با سوءاستفاده از این فرآیند، توکن‌های دسترسی و تازه‌سازی را ربوده و به حساب‌های کاربری دسترسی مداوم پیدا می‌کند. این حمله به دلیل استفاده از دامنه‌های رسمی مایکروسافت، تشخیص آن را برای کاربران دشوار می‌سازد. کاسپرسکی جزئیات فنی و راهکارهای دفاعی را تحلیل کرده است.

متن خبر

شرح خبر

مهاجمان با سوءاستفاده از مکانیسم «اعطای مجوز دستگاه» در پلتفرم هویت مایکروسافت، حملات فیشینگ جدیدی را طراحی کرده‌اند که قربانیان را وادار به وارد کردن اطلاعات خود در سایت رسمی مایکروسافت می‌کنند. این روش که برای دستگاه‌های بدون صفحه‌کلید مانند تلویزیون‌های هوشمند و دستگاه‌های IoT طراحی شده، از پروتکل OAuth 2.0 استفاده می‌کند و به کاربران اجازه می‌دهد با وارد کردن کد یکبار مصرف در صفحه‌ای مانند microsoft.com/devicelogin، دسترسی دستگاه‌ها را تأیید کنند. مهاجم با دستکاری این فرآیند، توکن‌های دسترسی و تازه‌سازی را ربوده و به حساب‌های کاربری دسترسی مداوم پیدا می‌کند. این حمله به دلیل استفاده از دامنه‌های معتبر مایکروسافت، تشخیص آن را برای کاربران دشوار می‌سازد. مهاجمان از مکانیسم «اعطای مجوز دستگاه» در پلتفرم هویت مایکروسافت برای انجام حملات فیشینگ استفاده می‌کنند. این مکانیسم که بر پایه پروتکل OAuth 2.0 کار می‌کند، برای دستگاه‌های بدون صفحه‌کلید مانند تلویزیون‌های هوشمند طراحی شده است. کاربر کد یکبار مصرف را در صفحه‌ای معتبر مانند microsoft.com/devicelogin وارد می‌کند تا دسترسی دستگاه را تأیید کند. مهاجم با سوءاستفاده از این فرآیند، توکن‌های دسترسی و تازه‌سازی را ربوده و به حساب‌های کاربری دسترسی مداوم پیدا می‌کند. این حمله به دلیل استفاده از دامنه‌های رسمی مایکروسافت، تشخیص آن را برای کاربران دشوار می‌سازد. کاسپرسکی جزئیات فنی و راهکارهای دفاعی را تحلیل کرده است. این حمله نشان می‌دهد که حتی بررسی دامنه سایت نیز دیگر برای جلوگیری از فیشینگ کافی نیست، زیرا مهاجم از زیرساخت‌های معتبر مایکروسافت استفاده می‌کند. استفاده از توکن‌های تازه‌سازی به مهاجم اجازه می‌دهد تا دسترسی مداوم به حساب‌های قربانیان داشته باشد، که خطرات امنیتی بلندمدتی را به همراه دارد. علاوه بر این، این روش می‌تواند به عنوان الگویی برای حملات مشابه بر ضد سایر پلتفرم‌های احراز هویت مورد استفاده قرار گیرد. شرکت‌ها و سازمان‌ها ممکن است با افشای اطلاعات حساس، آسیب‌های مالی و شهرتی را متحمل شوند. کارمندان و مشتریان در معرض خطر ربودن حساب‌ها و سوءاستفاده از داده‌ها قرار دارند. هزینه‌های مربوط به بازیابی امنیت و جبران خسارات می‌تواند قابل توجه باشد. کاربران ایرانی که از خدمات مایکروسافت مانند آفیس ۳۶۵ یا Azure استفاده می‌کنند، در معرض این حمله قرار دارند. سازمان‌های ایرانی که از زیرساخت‌های ابری مایکروسافت بهره می‌برند، باید اقدامات امنیتی خود را تقویت کنند تا از این نوع حملات جلوگیری نمایند. این حمله می‌تواند منجر به نقض قوانین حفاظت از داده‌ها مانند GDPR شود، که جریمه‌های سنگینی را برای سازمان‌ها به همراه دارد. همچنین، ممکن است نیاز به بازنگری در سیاست‌های احراز هویت و مجوزدهی در سازمان‌ها باشد. این حمله می‌تواند توسط بازیگران دولتی یا گروه‌های سایبری برای جاسوسی یا اختلال در زیرساخت‌های حیاتی مورد استفاده قرار گیرد. با توجه به استفاده گسترده از خدمات مایکروسافت در سطح جهانی، این حمله پتانسیل تأثیرگذاری بر منافع ژئوپلیتیکی را دارد. تحلیل فنی توسط تیم تحقیقاتی کاسپرسکی مهاجمان با سوءاستفاده از مکانیسم اعطای مجوز دستگاه در مایکروسافت، حملات فیشینگ جدیدی را طراحی کرده‌اند. این حمله چگونه کار می‌کند و چگونه می‌توان از آن جلوگیری کرد؟

این صفحه خلاصه و تحلیل فارسی خبر را نمایش می‌دهد. نسخه کامل/اصلی از طریق لینک منبع در دسترس است.

تحلیل تحریریه

ابعاد مهم خبر

چرا مهم است؟

این حمله نشان می‌دهد که حتی بررسی دامنه سایت نیز دیگر برای جلوگیری از فیشینگ کافی نیست، زیرا مهاجم از زیرساخت‌های معتبر مایکروسافت استفاده می‌کند. استفاده از توکن‌های تازه‌سازی به مهاجم اجازه می‌دهد تا دسترسی مداوم به حساب‌های قربانیان داشته باشد، که خطرات امنیتی بلندمدتی را به همراه دارد. علاوه بر این، این روش می‌تواند به عنوان الگویی برای حملات مشابه بر ضد سایر پلتفرم‌های احراز هویت مورد استفاده قرار گیرد.

اثر کسب‌وکاری

شرکت‌ها و سازمان‌ها ممکن است با افشای اطلاعات حساس، آسیب‌های مالی و شهرتی را متحمل شوند. کارمندان و مشتریان در معرض خطر ربودن حساب‌ها و سوءاستفاده از داده‌ها قرار دارند. هزینه‌های مربوط به بازیابی امنیت و جبران خسارات می‌تواند قابل توجه باشد.

اثر احتمالی برای ایران

کاربران ایرانی که از خدمات مایکروسافت مانند آفیس ۳۶۵ یا Azure استفاده می‌کنند، در معرض این حمله قرار دارند. سازمان‌های ایرانی که از زیرساخت‌های ابری مایکروسافت بهره می‌برند، باید اقدامات امنیتی خود را تقویت کنند تا از این نوع حملات جلوگیری نمایند.

ارتباط با LegalTech

این حمله می‌تواند منجر به نقض قوانین حفاظت از داده‌ها مانند GDPR شود، که جریمه‌های سنگینی را برای سازمان‌ها به همراه دارد. همچنین، ممکن است نیاز به بازنگری در سیاست‌های احراز هویت و مجوزدهی در سازمان‌ها باشد.

زاویه رسانه/کشور منبع

تحلیل فنی توسط تیم تحقیقاتی کاسپرسکی

برچسب‌ها