الگوی نفوذ به شبکه های سازمانی در حال تغییر است و مهاجمان بیش از گذشته به جای بدافزار و ایمیل فیشینگ سراغ میزهای helpdesk می روند. در این سناریو تماس گیرنده خود را مدیر ارشد یا یکی از کارکنان جا می زند و تلاش می کند تیم پشتیبانی را وادار کند تنظیمات MFA را ریست کند یا یک authenticator تازه برای حساب قربانی ثبت شود.
به گزارش رسانه اخبار فناوری تکنا، آنچه این حمله را خطرناک تر می کند اتکای آن به داده های عمومی و افشاشده است. مهاجمان با استفاده از اطلاعاتی که از لینکدین، وب سایت شرکت ها و داده های به سرقت رفته قبلی جمع آوری می کنند هویتی باورپذیر می سازند. به این ترتیب تماس تلفنی ظاهرا عادی به حمله ای تبدیل می شود که مستقیم لایه هویت سازمان را هدف می گیرد.
در روایت این حمله مهاجم معمولا یک وضعیت فوری می سازد و می گوید در سفر خارجی است یا به حساب قفل شده خود دسترسی ندارد و باید در چند دقیقه آینده وارد سامانه شود. گاهی همان فرد چند بار تماس می گیرد و هر بار با صدا یا هویت دیگری شانس خود را امتحان می کند. در تمام این مدت فرد واقعی داخل شرکت از ماجرا بی خبر است.
این تکنیک با نام Okta vishing شناخته می شود و در عمل نوعی voice phishing است که پس از نفوذ به ارائه دهنده هویت، دسترسی فوری به سرویس های متصل را ممکن می کند. گزارش توضیح می دهد که پس از سازش Okta، مهاجم می تواند به Microsoft 365، SharePoint، Salesforce و Slack برسد و زنجیره اعتماد Single Sign-On را یکجا در اختیار بگیرد.
موفقیت این حملات فقط نتیجه مهارت مهاجم نیست و به ماهیت helpdesk هم گره خورده است. تیم های پشتیبانی برای حل سریع مشکل تشویق می شوند و محیط های دورکار نیز عیب یابی احراز هویت را به رفتاری روزمره تبدیل کرده اند. از طرف دیگر چارت سازمانی و ساختار گزارش دهی در بسیاری از شرکت ها علنی است و همین موضوع جعل هویت مدیران را برای مهاجم ساده تر می کند.
پس از نفوذ نیز ماجرا اغلب به یک takeover ساده محدود نمی ماند. در رفتارهای پس از سازش، دانلود داده های SharePoint، استخراج ایمیل ها، ساخت inbox rule، ثبت برنامه های OAuth و تولید API token دیده می شود. به همین دلیل سازش Okta در بسیاری از موارد خیلی سریع به سرقت داده های ابری تبدیل می شود و دامنه خسارت آن از یک حساب کاربری فراتر می رود.
نکته کلیدی اینجاست که MFA از نظر فنی همچنان کار می کند اما زمانی شکست می خورد که نیروی انسانی با مهندسی اجتماعی وادار به تضعیف همان لایه حفاظتی شود. مقاله تاکید می کند antivirus توان تشخیص تماس تلفنی را ندارد و firewall هم صدای قانع کننده پشت خط را متوقف نمی کند. بنابراین راه دفاع، پایش دقیق ریست های بدون توجیه MFA و ثبت دستگاه های تازه پس از رفتار مشکوک است.
تیم های امنیتی باید به هر تلاش ورود از ASN ناشناس بلافاصله پس از تغییرات MFA به چشم یک زنگ خطر نگاه کنند. جمع بندی گزارش این است که در معماری های مدرن SaaS، هویت به صفحه کنترل اصلی دسترسی تبدیل شده و به همین دلیل حالا مهم ترین میدان نبرد امنیتی دیگر صندوق ایمیل یا فایل آلوده نیست بلکه انسانی است که پشت تلفن تلاش می کند با یک روایت فوری اعتماد helpdesk را به دست آورد.
منبع این خبر رسانه فناوری تکنا است. برای دیدن دیگر خبرها به تکنا مراجعه کنید.
| پیشنهاد ویژه : تعمیر کامپیوتر |
| پیشنهاد تکنا : خرید بلیط هواپیما فلای تودی |
منبع خبر مهاجمان با تماس تلفنی MFA را دور می زنند پایگاه خبری تکنا به آدرس تکنا میباشد.
