روش‌های هوشمند هکرها: چگونه صفحات ورود جعلی را شناسایی کنیم؟ آیا سازمان شما هدف بعدی است؟

در دنیای دیجیتال امروز، امنیت اطلاعات یکی از بزرگ‌ترین چالش‌های سازمان‌ها به شمار می‌آید. به گزارش کارشناس شرکت سحاب با توجه به افزایش حملات سایبری، هکرها به‌راحتی می‌توانند با استفاده از روش‌های پیچیده، به اطلاعات حساس دسترسی پیدا کنند. یکی از این روش‌ها، تقلید از صفحات ورود مایکروسافت ADFS برای سرقت اطلاعات کاربری است. در ادامه مقالات هک و امنیت شرکت سحاب، به بررسی این نوع حملات و راهکارهای پیشنهادی برای جلوگیری از آن‌ها خواهیم پرداخت.

حملات فیشینگ و تقلب در صفحات ورود

طبق بررسی متخصصین شرکت سحاب هکرها به‌طور خاص به‌دنبال دسترسی به سرویس‌های احراز هویت فدراسیون مایکروسافت (ADFS) هستند. این حملات با استفاده از صفحات ورود جعلی طراحی شده‌اند تا اطلاعات کاربری کاربران را سرقت کنند و به‌راحتی حفاظت‌های احراز هویت چندعاملی (MFA) را دور بزنند.

بر اساس گزارش Abnormal Security، این کمپین فیشینگ عمدتاً سازمان‌های آموزشی، بهداشتی و دولتی را هدف قرار داده و حداقل ۱۵۰ هدف را نشانه گرفته است. هدف این حملات، دسترسی به حساب‌های ایمیل شرکتی و ارسال ایمیل به قربانیان اضافی درون سازمان یا انجام حملات مالی مانند «تضعیف ایمیل کسب‌وکار» (BEC) است، که در آن پرداخت‌ها به حساب‌های عاملان تهدید هدایت می‌شوند.

خدمات احراز هویت فدراسیون مایکروسافت

سرویس‌های احراز هویت فدراسیون مایکروسافت (ADFS) به کاربران اجازه می‌دهد یک بار وارد شوند و به چندین برنامه و سرویس بدون نیاز به وارد کردن مکرر اطلاعات کاربری دسترسی داشته باشند. این سیستم به‌ویژه در سازمان‌های بزرگ برای ارائه احراز هویت تک‌مرحله‌ای (SSO) در برنامه‌های داخلی و مبتنی بر ابر بسیار کارآمد است.

روش‌های حمله

هکرها به‌وسیله ارسال ایمیل‌های جعلی، خود را به‌عنوان تیم IT شرکت معرفی می‌کنند و از کارمندان می‌خواهند برای به‌روزرسانی تنظیمات امنیتی یا پذیرش سیاست‌های جدید، وارد شوند. قربانیان با کلیک بر روی دکمه تعبیه‌شده، به یک سایت فیشینگ منتقل می‌شوند که دقیقا شبیه به صفحه ورود واقعی ADFS سازمانشان است.

این صفحات فیشینگ از قربانیان می‌خواهند نام کاربری، رمز عبور و کد MFA را وارد کنند یا آن‌ها را فریب می‌دهند تا اعلان فشار (push notification) را تأیید کنند. به گفته Abnormal Security، قالب‌های فیشینگ همچنین شامل فرم‌هایی هستند که برای جمع‌آوری عامل دوم خاص مورد نیاز برای احراز هویت طراحی شده‌اند.

پرتال‌های جعلی ADFS و دو تا از بسیاری از صفحات دور زدن احراز هویت چندعاملی

عواقب و راه‌های جلوگیری

زمانی که قربانی تمامی جزئیات را وارد می‌کند، به صفحه ورود قانونی هدایت می‌شود تا از مشکوک شدن جلوگیری شود و به نظر برسد که فرآیند با موفقیت انجام شده است. در این بین، هکرها بلافاصله از اطلاعات سرقت‌شده استفاده می‌کنند تا به حساب قربانی وارد شوند، داده‌های ارزشمند را سرقت کنند، قوانین فیلتر ایمیل جدید ایجاد کنند و تلاش کنند فیشینگ جانبی انجام دهند.

گزارش‌ها نشان می‌دهد که هکرها در این کمپین از VPN Private Internet Access برای پنهان کردن موقعیت خود و اختصاص یک آدرس IP نزدیک به سازمان هدف استفاده کرده‌اند. هرچند این حملات به‌طور مستقیم به ADFS نفوذ نمی‌کنند و بیشتر به مهندسی اجتماعی وابسته‌اند، اما با توجه به اعتماد ذاتی کاربران به روندهای ورود آشنا، این روش‌ها همچنان بسیار مؤثر هستند.

مطالب مرتبط  :

بحران امنیتی در PowerSchool | سرقت داده‌های 62 میلیون دانش‌آموز و معلم

اگر این برنامه‌ها را روی گوشی دارید، همین حالا حذفشان کنید! وگرنه باید با اطلاعات و کیف پول خود خداحافظی کنید.

هشدار! کپچای جعلی تلگرام سیستم‌تان را آلوده می‌کند | راه‌های جلوگیری از حملات سایبری 

نتیجه‌گیری

برای مقابله با چنین حملاتی، Abnormal Security پیشنهاد می‌کند که سازمان‌ها به راه‌حل‌های مدرن و ایمن‌تر مانند Microsoft Entra انتقال یابند. همچنین، معرفی فیلترهای ایمیل اضافی و مکانیزم‌های شناسایی فعالیت‌های غیرمعمول می‌تواند به جلوگیری از حملات فیشینگ در مراحل اولیه کمک کند. امنیت اطلاعات، موضوعی حیاتی است و آگاهی و آموزش کاربران می‌تواند نقش بسزایی در حفاظت از سازمان‌ها داشته باشد.