تکنیک جدید فیشینگ به مهاجمان این امکان را می دهدکه از احراز هویت چند عاملی(MFA) عبور کنند و قربانیان مستقیماً در سرورهای کنترل شده توسط مهاجم با استفاده از سیستم VNC وارد حسابهای خود شوند.
یکی از بزرگترین موانع در حملات فیشینگ موفق، عبور از احراز هویت چند عاملی (MFA) است.
مهاجمان حتی اگر بتوانند کاربران را متقاعد کنند تا اطلاعاتشان را در سایت فیشینگ وارد کنند، هک شدن حساب کاربری حتما نیاز به رمز یکبار مصرف ارسال شده دارد. آنها برای دسترسی به اکانت هایی که توسط MFA محافظت شده اند از پروکسی های معکوس یا انواع روش های دیگر جهت بدست آوردن کدهای MFA ارسالی به کاربران استفاده می کنند.
VNC برای رهایی و نجات
محقق امنیتی به نام mr.d0x جهت تست نفوذ، حمله فیشینگی را بر روی سیستم کارمندان انجام داد تا اکانت شرکت را بدست آورد. با توجه به اینکه تمام سیستم های این شرکت با MFA محافظت شده بودند، mr.d0x به وسیله حمله Evilginx2 که یک پروکسی معکوس جهت سرقت کدهای MFAمی باشد توانست یک حمله فیشینگ را راه اندازی کند. هنگام انجام آزمایش، محقق متوجه شد گوگل زمان شناسایی پروکسی های معکوس یا حملات Man-in-the-Middle (MiTM) از ورود به سیستم جلوگیری می کند.
mr.d0x اعلام کرد: این ویژگی امنیتی جدید را گوگل در سال 2019 به طور خاص برای جلوگیری از این نوع حملات اضافه کرده.
همچنین اعلام کرد که وبسایتهایی مانند LinkedIn، حملات Man-in-the-Middle (MiTM) را شناسایی و ورود به حساب کاربری رو متوقف می کنند.
برای غلبه بر این مانع، mr.d0x تکنیک جدید فیشینگ را ارائه کرد که از نرمافزار دسترسی از راه دور noVNC و مرورگرهایی که در حالت کیوسک کار میکنند برای نمایش درخواستهای ورود به ایمیل که روی سرور مهاجم اجرا میشوند اما مرورگر به قربانی نشان داده میشود، استفاده میکند.
VNC یک نرم افزار دسترسی از راه دور است که به کاربران اجازه می دهد به دسکتاپ کاربران متصل شده و آنها کنترل کنند. بیشتر کاربران از طریق کلاینت های اختصاصی VNC به سرور VNC متصل می شوند که دسکتاپ را از راه دور به روشی مشابه با Windows Remote Desktop باز می کنند.
برنامهی noVNC به کاربران این امکان را می دهد که با کلیک کردن روی لینک، مستقیماً از داخل یک مرورگر به یک سرور VNC متصل شوند.
نحوه استفاده از noVNC برای عبور از احراز هویت چند عاملی چگونه است؟
مهاجمان یک سرور به وسیله noVNC راه اندازی کرده، فایرفاکس (یا هر مرورگر دیگری) را در حالت کیوسک اجرا می کنند سپس به سایتی که کاربران درآن احراز هویت می کنند به عنوان مثال ( accounts.google.com ) می روند سپس لینک برای کاربر مورد نظر ارسال می شود و وقتی کاربر روی URL کلیک می کند بدون اینکه متوجه شود به VNC دسترسی پیدا می کند و از آنجایی که مهاجم فایرفاکس را در حالت کیوسک راه اندازی کرده، همانطور که انتظار می رود، تمام آنچه کاربر می بیند یک صفحه وب است.”
با این روش مهاجمان می توانند ایمیل های فیشینگ هدفمندی را ارسال کند که به وسیله لینک ها به طور خودکار مرورگر کاربر را راه اندازی و وارد سرور VNC شوند.
این لینک ها بسیار انعطاف پذیر هستند و شبیه URL های ورود به سیستم VNC نیستند. مانند موارد زیر:
با توجه به اینکه سرور VNC برای اجرای مرورگر در حالت کیوسک به صورت تمام صفحه اجرا می شود، زمانی که قربانی روی لینکی کلیک میکند، یک صفحه ورود به سیستم را مشاهده میکند و به طور معمول وارد میشود.
محققان اعلام کردند هنگامی که کاربر وارد حساب کاربری می شود، مهاجمان می توانند از ابزارهای مختلفی برای سرقت اطلاعات کاربری و توکن های امنیتی استفاده کنند.
این روش MFA را دور میزند زیرا کاربران رمز عبور یکبار مصرف را مستقیماً در سرور مهاجم وارد میکنند و سیستم را برای ورود های آینده Log in میکنند.
نظر به اینکه این روش در حملات واقعی مورد استفاده قرار نگرفته است، محققان اعلام کردند مهاجمان از آن در آینده استفاده خواهند کرد.
پیشنهادات:
جهت محافظت در برابر حملاتی از این نوع:
• روی URL هایی با فرستنده ناشناس کلیک نکنید.
• لینک های تعبیه شده برای دامنه های غیرعادی را بررسی کنید.
• همه ایمیل ها را مشکوک تلقی کنید، به خصوص زمانی که از شما می خواهد وارد اکانت خود شوید.
منبع:
