پشتیبانی 24/7 :

031-36691964 | 021-88203003

Search

EvilTokens:یک حمله فیشینگ که رمز عبور شما را به سرقت نمیبرد.

تیتر مطالب

تاکنون مطالب زیادی در مورد اینکه چگونه ایمیل‌های فیشینگ پر از غلطهای املایی و گرامری و خام، عمدتاً به لطف هوش مصنوعی، بهبود یافته اند، خوانده ایم. EvilTokens نمونه‌ای تا حدودی متفاوت از میزان پیشرفت صنعت فیشینگ ارائه می‌دهد.

EvilTokens یک کیت Phishing-as-a-service (PhaaS) است که برای به خطر انداختن حساب‌های مایکروسافت ۳۶۵ با سوءاستفاده از جریان اعطای مجوز دستگاه OAuth 2.0 ساخته شده است. از آنجایی که حملاتی که از این کیت استفاده می‌کنند به فیشینگ کد دستگاه متکی هستند، نیازی به کپی‌های متقاعدکننده از صفحات ورود واقعی که در آن قربانیان رمزهای عبور خود را ارائه می‌دهند، ندارند. در عوض، مهاجمان قربانی را مجبور می‌کنند تا یک فرآیند احراز هویت مشروع – از جمله احراز هویت دو عاملی (FA2) – را در یک صفحه ورود واقعی مایکروسافت تکمیل کند.

این ابزار از طریق کانال‌های تلگرام تبلیغ شده و حداقل از فوریه 2026 در حملات فعال مشاهده شده است. همانطور که مستند شده است، به نظر می‌رسد که این کیت به سرعت توسط مجرمان سایبری پذیرفته شده و در تعدادی از حملات تصاحب حساب و BEC به کار گرفته شده است، از جمله برای کمپینی که بیش از 340 سازمان را در چندین کشور در مارس 2026 هدف قرار داد. خود مایکروسافت نیز یک کمپین مبتنی بر هوش مصنوعی را توصیف کرده است که از تولید پویای کد دستگاه و فریب‌های سفارشی برای افزایش میزان موفقیت حملات EvilTokens استفاده می‌کرد.

سازوکار داخلی EvilTokens

در اینجا خلاصه‌ای از نحوه‌ی وقوع حملاتی که از EvilTokens استفاده می‌کنند، آورده شده است:

خود حمله با یک «شناسایی» آغاز می‌شود که در آن هکرها ابتدا فعال بودن حساب هدف را تأیید می‌کنند. مایکروسافت شاهد اجرای این شناسایی 10 تا 15 روز قبل از اقدام فیشینگ واقعی بوده است.

قربانی یک ایمیل یا پیامی دریافت می‌کند که اغلب به عنوان فاکتور، سند مشترک، دعوتنامه یا درخواست دسترسی SharePoint ظاهر می‌شود. این فیشینگ شامل یک صفحه‌ی جعلی است که خود را به عنوان یک برند یا سرویس معتبر جا می‌زند، همراه با عبارات ساده‌ای مانند «برای مشاهده تأیید کنید» یا «یک امضا لازم است».

وقتی قربانی روی آن کلیک می‌کند، صفحه از مایکروسافت درخواست یک کد دستگاه می‌کند. این کد فقط به مدت 15 دقیقه معتبر است، بنابراین زمان و زمان‌بندی در اینجا بسیار مهم هستند. صفحه کد را به قربانی نشان می‌دهد و او را به پورتال ورود به سیستم اصلی microsoft.com/devicelogin مایکروسافت هدایت می‌کند. نکته این است که کد متعلق به session مهاجم است، از این رو قربانی ناآگاهانه دستگاه مهاجم را مجاز می‌کند، نه دستگاه خود را.

با مشاهده ورود معتبر، مایکروسافت توکن‌های دسترسی و به‌روزرسانی را به session که توسط مهاجم باز شده است، صادر می‌کند. پس از ورود، مجرمان می‌توانند به ایمیل، فایل‌ها، Teams، SharePoint، OneDrive و سایر منابع Microsoft 365 شرکت دسترسی پیدا کنند و داده‌ها را استخراج کنند یا حملات BEC را آماده کنند، به همین دلیل است که حساب‌های مالی، منابع انسانی، لجستیک و فروش توجه زیادی را به خود جلب می‌کنند.
چه چیزی EvilTokens را خطرناک می‌کند؟

جریان کد دستگاه OAuth برای دستگاه‌هایی طراحی شده است که ورود مستقیم به آنها ممکن است دشوار باشد، مانند تلویزیون‌های هوشمند یا چاپگرها. دستگاه یک کد کوتاه را نمایش می‌دهد که کاربر در صفحه مایکروسافت در دستگاه دیگری، اغلب یک تلفن هوشمند، وارد می‌کند و احراز هویت را در آنجا تکمیل می‌کند. سپس مایکروسافت توکن‌های دسترسی را به دستگاهی که درخواست دسترسی کرده است، صادر می‌کند.

این جداسازی مفید است، اما امکان سوءاستفاده را فراهم می‌کند. مهاجمان می‌توانند کد را تولید کنند و قربانی را برای ورود به آن فریب دهند – در حالی که مایکروسافت فقط یک جریان احراز هویت معتبر را می‌بیند. معمولا مایکروسافت در لحظه ورود به سیستم از طریق متن روی صفحه به کاربران هشدار می‌دهد که از منابعی که به آنها اعتماد ندارند، اقدام به وارد کردن کدها نکنند. با این حال، گاهی اوقات یک طعمه قانع‌کننده برای اینکه قربانی از هرگونه هشداری عبور کند، کافی است.

در مورد این موضوع، EvilTokens بسیاری از نشانه های شناسایی یک ایمیل یا پیام فیشینگ از جمله نام‌های دامنه، غلط املایی و صفحات ورود جعلی را از بین می‌برد. صفحه ورود واقعی است و از دیدگاه قربانی، کل فرآیند احراز هویت می‌تواند همانطور که انتظار می‌رود، به نظر برسد.
در این حملات، مهاجمان FA2 را از طریق هیچ ترفند فنی خراب نمی‌کنند – بلکه آنها به سادگی قربانی را فریب می‌دهند تا FA2 را برای آنها تکمیل کند.

چگونه ریسک این نوع حملات را کاهش دهیم؟

نکات محافظت در برابر فیشینگ به وضوح نمی‌توانند به «بررسی لینک» ختم شوند، چه برسد به «جستجوی غلط‌های املایی». البته این بررسی ها همچنان مهم و مفید هستند، اما در برابر حملات مدرن، به ویژه آن‌هایی که از جریان‌های احراز هویت واقعی سوءاستفاده می‌کنند، تاثیر ز یادی ندارد.

در اینجا چند نکته برای ایمن ماندن از EvilTokens و مشابه آن آورده شده است:

  • هر درخواست غیرمنتظره‌ای برای کد احراز هویت را به عنوان یک مورد مشکوک در نظر بگیرید. هیچ سند، فاکتور، ایمیل یا پلتفرم دیگری نباید بدون دلیل مشخص، کد دستگاه را درخواست کند. اگر درخواست از ناکجاآباد رسید، آن را به تیم فناوری اطلاعات یا امنیت کارفرمای خود گزارش دهید.
  • زمینه مهم‌تر از صفحه است. قبل از تأیید هرگونه درخواست ورود به سیستم، بررسی کنید که کدام برنامه درخواست دسترسی می‌کند، کدام حساب درگیر است و آیا شما واقعاً این اقدام را شروع کرده‌اید یا خیر. 
  • سازمان‌ها باید جریان کد دستگاه را در جایی که لازم نیست، کاملاً محدود کنند. مایکروسافت توصیه می‌کند از سیاست‌های دسترسی مشروط برای مسدود کردن جریان کد دستگاه در هر کجا که لازم نیست استفاده کنید و آن را به کاربران، دستگاه‌ها، مکان‌ها یا سیستم‌عامل‌های خاص محدود کنید.
  • مراقب احراز هویت غیرمعمول با کد دستگاه، دستگاه‌های ناآشنا، ورودهای پرخطر، استفاده از توکن‌های مشکوک و قوانین جدید صندوق ورودی باشید – هر یک از این موارد می‌تواند نشان‌دهنده مشکل باشد.
  • آموزش آگاهی‌بخشی امنیتی باید با جدیدترین ترفندهای مهاجمان همراه باشد. کارمندان باید درک کنند که فیشینگ مدرن همیشه شامل تایپ رمز عبور در یک صفحه جعلی نیست. گاهی اوقات مهاجم می‌تواند از آنها بخواهد که یک کد واقعی را در یک صفحه واقعی وارد کنند – اما برای دستگاه اشتباه.
  • کارمندانی که درخواست غیرمنتظره کد دستگاه دریافت می‌کنند باید به تیم‌های فناوری اطلاعات یا امنیت شرکت خود اطلاع دهند، که ممکن است نیاز به بررسی گزارش‌های ورود، لغو جلسات، نامعتبر کردن توکن‌های تازه‌سازی، حذف قوانین مخرب صندوق ورودی و غیرفعال کردن موقت حساب کاربری آسیب‌دیده داشته باشند.
  • EvilTokens یادآوری می‌کند که مهاجمان همیشه نیازی به شکستن درب ورودی یا دزدیدن کلید آن ندارند. گاهی اوقات آنها فقط باید کسی را برای باز کردن آن ترغیب کنند.

 

منبع:
welivesecurity