محققان امنیتی هشدار دادهاند که مهاجمان بهصورت فزایندهای از نوعی بستههای نرمافزاری فیشینگ به نام Transparent Reverse Proxy Kits برای دورزدن روش احراز هویت چندعاملی استفاده میکنند.
منبع : مرکز مدیریت راهبردی افتا
محققان امنیتی هشدار دادهاند که مهاجمان بهصورت فزایندهای از نوعی بستههای نرمافزاری فیشینگ به نام Transparent Reverse Proxy Kits برای دورزدن روش احراز هویت چندعاملی استفاده میکنند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، مهاجمان سایبری، همچنین تکنیکهایی مانند مرد میانی را برای سرقت اطلاعات اصالتسنجی در MFA به کار میگیرند.
از آنجایی که نظرسنجیهای اخیر پذیرش ۷۸ درصدی کاربران و کسبوکارها را از روش احراز هویت چندعاملی (MFA) در سال ۲۰۲۱ نشان میدهد، مجرمان سایبری نیز بهسرعت در حال بهکارگیری ابزارهای فیشینگ برای دورزدن MFA هستند. این ابزارهای مخرب بهسرعت درحالتوسعه هستند؛ از بستههای نرمافزاری منبعباز ساده و بی زرقوبرق گرفته که در دسترس عموم هستند تا بستههای پیچیده که دارای لایههای متعدد مخفیسازی و ماژولهای جانبی مختلف برای سرقت نامهای کاربری، رمزهای عبور، اطلاعات اصالتسنجی MFA، شمارههای ملی افراد و شمارههای کارت اعتباری.
یکی از روشهای این ابزارهای فیشینگ که بهطور ویژه موردتوجه محققان قرار گرفته، استفاده آنها از پروکسیهای موسوم به Transparent Reverse Proxy – بهاختصار TPR - است که مهاجمان را قادر میکند تا به عملیات و اطلاعات کاربر در زمان کار با مرورگر دسترسی داشته باشند. این رویکرد MiTM به مهاجمان اجازه میدهد ضمن مخفی ماندن، هنگام واردکردن یا نمایش اطلاعات روی صفحهنمایش، اطلاعات را جمعآوری کنند.
این شیوه، تغییر روندی بزرگ نسبت به روشهای فیشینگ سنتی است که در آن مهاجمان برای سرقت اطلاعات اصالتسنجی، سایتهایی جعلی ایجاد میکردند. بهعنوانمثال، اقدام به جعل صفحه ورود (Log-in Page) سیستم واقعی Windows میکردند تا قربانیان خود را فریب داده و کاربران رمزهای عبور خود را در آن صفحات جعلی وارد کنند. البته در رویکرد سنتی امکان خطا و اشتباه زیاد بود. مواردی همچون استفاده از علائم تجاری قدیمی شرکتها، اشتباهات املایی و انشایی، باعث لو رفتن و شناسایی شدن سایتها و صفحات جعلی میشد.
این در حالی است که نتایج تحلیل محققان نشان میدهد که ابزارهای TPR، سایت واقعی را به قربانی نشان میدهند. صفحات سایت واقعی، مدرن و پویا بوده و مرتباً در حال تغییر هستند؛ بنابراین، ارائه سایت واقعی بهجای نسخه جعلی آن، موجب فریب افراد شده و کاربر با خیال راحت وارد سایت میشود. در همین حال، مهاجمان با سرقت فایلهای کوکی (cookies)، قادر خواهند بود بدون نیاز به نام کاربری، رمز عبور و یا اطلاعات اصالتسنجی MFA، بهحساب کاربری موردنظر دسترسی یابند.
نتایج تحقیقات محققان نشان میدهد که اخیراً بهطور خاص بهکارگیری سه ابزار فیشینگ که از روش TRP استفاده میکنند، افزایشیافته است.
Modliska توسط یک محقق امنیتی لهستانی تهیه و از اواخر سال ۲۰۱۸ منتشر شده است. محققان اعلام کردند که این ابزار ساده به کاربران امکان میدهد در هر زمان فقط اطلاعات اصالتسنجی مربوط به یک سایت را سرقت کنند. این ابزار یک واسط خط فرمان (Command Line Interface) دارد و از یک رابط کاربری گرافیکی برای سرقت اطلاعات کاربری و اطلاعات سایتهای در حال استفاده کاربر، بهره میبرد.
Muraena/Necrobrowser ابزاری است که برای اولینبار در سال ۲۰۱۹ منتشر شد و از دو بخش تشکیلشده است. در بخش اول،Muraena در سمت سرور اجرا میشود و از یک برنامه پویشگر (crawler) برای پویش سایت موردنظر استفاده میکند تا مطمئن شود که آیا بهدرستی میتواند تمام ترافیک موردنیاز را بازنویسی کند بهگونهای که قربانی متوجه نشود. این ابزار، اطلاعات اصالتسنجی قربانی و اطلاعات فایل کوکی مرورگر را جمعآوری و سپس در بخش دوم، Necrobrowser را نصب میکند.
Necrobrowser یک مرورگر فاقد سربرگ (Headless Browser) است یعنی یک مرورگری بدون رابط کاربری گرافیکی که برای خودکارسازی عملیات استفادهشده و از اطلاعات کوکیهای به سرقت رفته برای ورود به سایت موردنظر و انجام کارهایی همچون تغییر رمز عبور، غیرفعالکردن اعلانهای Google Workspace، ارسال ایمیل و ... استفاده میکند.
Evilginx۲ یک ابزار نرمافزاری مبتنی بر زبان Golang است که در ابتدا توسط یکی از محققان امنیتی بهعنوان یک ابزار تست نفوذ (Pen-Testing tool) ساخته شد. از بارزترین مشخصههای آن میتوان به نصب آسان و امکان استفاده از فایلهای موسوم به Phishlet اشاره کرد که از پیش نصبشده است. فایلهای Phishlet، فایلهای پیکربندی از نوع YAML هستند که برای پیکربندی پراکسی (Proxy) در سایت هدف استفاده میشوند.
هنگامیکه قربانی برای ورود بر روی نشانی اینترنتی کلیک میکند، پیوند مخرب او را به صفحهای امن منتقل میکند، جایی که مهاجمان رمزهای عبور، اطلاعات اصالتسنجی MFA و فایلهای کوکی آن سایت را سرقت میکنند. در این زمان، قربانی یا به صفحه دیگری هدایت میشود یا در همان صفحه میماند. مهاجم سپس میتواند از اطلاعات فایل کوکی به سرقت رفته سوءاستفاده کرده و بهجای قربانی وارد آن صفحه شود و اقدامات متعددی مانند تغییر رمز عبور و کپیکردن دادهها را انجام دهد و خود را بهجای قربانی معرفی کند.
گرچه این ابزارها جدید نیستند اما بهطور فزایندهای برای دورزدن روش احراز هویت MFA استفاده میشوند و باتوجهبه اینکه در سایت VirusTotal شناسایی نمیشوند، موجب نگرانی محققان امنیتی شدهاند.
اخیراً محققان دانشگاه Stony Brook و محققان Palo Alto Networks ابزاری را طراحی و ساختهاند که از طریق آن توانستهاند ۱۲۰۰ سایت فیشینگ مبتنی بر MitM را تشخیص دهند. بااینحال، تنها ۴۳.۷ درصد از این دامنهها و ۱۸.۹ درصد از نشانیهای IP آنها در سایت VirusTotal شناساییشده است، علیرغم اینکه طول عمر آنها تا ۲۰ روز یا در برخی موارد بیشتر بوده است.
به گفته محققان، ازآنجاییکه امروزه سازمانهای بیشتری از روش MFA استفاده میکنند، مهاجمان بهسرعت به سمت تکنیکها و ابزارهای رایگانی همچون ابزارهای MitM روی آوردهاند زیرا نصب آنها بسیار آسان است و اغلب توسط محصولات امنیتی یا سایت پویش آنلاین همچون VirusTotal شناسایی نمیشوند. ازاینرو یافتن راهکاری برای مقابله با این نقاط کور قبل از تکامل بیشتر اینگونه حملات بسیار ضروری است.