پشتیبانی 24/7 :

031-36691964 | 021-88203003

جستجو

روش فیشینگ غیر مستقیم با استفاده از نرم افزار دسترسی از راه دور، احراز هویت چند عاملی (MFA) را دور میزند.

تیتر مطالب

تکنیک جدید فیشینگ به مهاجمان این امکان را می دهدکه از احراز هویت چند عاملی(MFA)  عبور کنند و قربانیان مستقیماً در سرورهای کنترل شده توسط مهاجم با استفاده از سیستم VNC وارد حساب‌های خود شوند.
یکی از بزرگترین موانع در حملات فیشینگ موفق،  عبور از احراز هویت چند عاملی (MFA) است.
مهاجمان حتی اگر بتوانند کاربران را متقاعد کنند تا اطلاعاتشان را در سایت فیشینگ وارد کنند، هک شدن حساب کاربری حتما نیاز به رمز یکبار مصرف ارسال شده دارد. آنها برای دسترسی به اکانت هایی که توسط MFA محافظت شده اند از پروکسی های معکوس یا انواع روش های دیگر جهت بدست آوردن کدهای MFA ارسالی به کاربران استفاده می کنند.

VNC برای رهایی و نجات

محقق امنیتی به نام mr.d0x جهت تست نفوذ، حمله فیشینگی را بر روی سیستم کارمندان انجام داد تا اکانت شرکت را بدست آورد. با توجه به اینکه تمام سیستم های این شرکت با MFA محافظت شده بودند، mr.d0x به وسیله حمله Evilginx2 که یک پروکسی معکوس جهت سرقت کدهای MFAمی باشد توانست یک حمله فیشینگ را راه اندازی کند. هنگام انجام آزمایش، محقق متوجه شد گوگل زمان شناسایی پروکسی های معکوس یا حملات Man-in-the-Middle (MiTM) از ورود به سیستم جلوگیری می کند.
mr.d0x اعلام کرد: این ویژگی امنیتی جدید را گوگل در سال 2019 به طور خاص برای جلوگیری از این نوع حملات اضافه کرده.

MFA1

 

همچنین اعلام کرد که وب‌سایت‌هایی مانند LinkedIn، حملات Man-in-the-Middle (MiTM) را شناسایی و ورود به حساب کاربری رو متوقف می کنند.
برای غلبه بر این مانع، mr.d0x تکنیک جدید فیشینگ را ارائه کرد که از نرم‌افزار دسترسی از راه دور noVNC و مرورگرهایی که در حالت کیوسک کار می‌کنند برای نمایش درخواست‌های ورود به ایمیل که روی سرور مهاجم اجرا می‌شوند اما مرورگر به قربانی نشان داده می‌شود، استفاده می‌کند.
VNC یک نرم افزار دسترسی از راه دور است که به کاربران اجازه می دهد به دسکتاپ کاربران متصل شده و آنها کنترل کنند. بیشتر کاربران از طریق کلاینت های اختصاصی VNC به سرور VNC متصل می شوند که دسکتاپ را  از راه دور به روشی مشابه با Windows Remote Desktop باز می کنند.
برنامه‌ی noVNC به کاربران این امکان را می دهد که با کلیک کردن روی لینک، مستقیماً از داخل یک مرورگر به یک سرور VNC متصل شوند.

نحوه استفاده از noVNC برای عبور از احراز هویت چند عاملی چگونه است؟

مهاجمان یک سرور به وسیله noVNC راه اندازی کرده، فایرفاکس (یا هر مرورگر دیگری) را در حالت کیوسک اجرا می کنند سپس به سایتی که کاربران درآن احراز هویت می کنند به عنوان مثال ( accounts.google.com ) می روند سپس لینک برای کاربر مورد نظر ارسال می شود و وقتی کاربر روی URL کلیک  می کند بدون اینکه متوجه شود به VNC دسترسی پیدا می کند و از آنجایی که مهاجم فایرفاکس را در حالت کیوسک راه اندازی کرده، همانطور که انتظار می رود، تمام آنچه کاربر می بیند یک صفحه وب است.”
با این روش مهاجمان می توانند ایمیل های فیشینگ هدفمندی را ارسال کند که به وسیله لینک ها به طور خودکار مرورگر کاربر را راه اندازی و وارد سرور VNC شوند.
این لینک ها بسیار انعطاف پذیر هستند و شبیه URL های ورود به سیستم VNC  نیستند. مانند موارد زیر:

MFA2

با توجه به اینکه سرور VNC برای اجرای مرورگر در حالت کیوسک  به صورت تمام صفحه اجرا می شود، زمانی که قربانی روی لینکی کلیک می‌کند، یک صفحه ورود به سیستم را مشاهده می‌کند و به طور معمول وارد می‌شود.

MFA3

محققان اعلام کردند هنگامی که کاربر وارد حساب کاربری می شود، مهاجمان می توانند از ابزارهای مختلفی برای سرقت اطلاعات کاربری و توکن های امنیتی استفاده کنند.
این روش MFA را دور میزند زیرا کاربران رمز عبور یک‌بار مصرف را مستقیماً در سرور مهاجم وارد می‌کنند و سیستم را برای ورود های آینده Log in می‌کنند.
نظر به اینکه این روش در حملات واقعی مورد استفاده قرار نگرفته است، محققان اعلام کردند مهاجمان از آن در آینده استفاده خواهند کرد.

پیشنهادات:

جهت محافظت در برابر حملاتی از این نوع:
•    روی URL هایی با فرستنده ناشناس کلیک نکنید.
•    لینک های تعبیه شده برای دامنه های غیرعادی  را بررسی کنید.
•    همه ایمیل ها را مشکوک تلقی کنید، به خصوص زمانی که از شما می خواهد وارد اکانت خود شوید.

منبع:

https://www.bleepingcomputer.com