اختصاصی افتانا: دسترسی هکرها به توکنهای احراز هویت میتواند به عنوان یکی از خطرناکترین تهدیدهای سایبری محسوب شود.
به گزارش افتانا به نقل از اسپلانک، پاون استورم (Pawn Storm) - یک
گروه جاسوسی فعال که از سال ۲۰۰۴ فعالیت میکند - از استراتژی های مختلفی برای به دست آوردن اطلاعات از اهداف خود استفاده میکند. یکی از این روشها بهویژه سوء استفاده از احراز هویت باز (OAuth) در طرحهای پیشرفته
مهندسی اجتماعی، هدف قرار دادن کاربران با مشخصات بالا از ایمیلهای اینترنتی رایگان بین سالهای ۲۰۱۵ و ۲۰۱۶ بود.
این گروه همچنین حملات
فیشینگ اعتباری تهاجمی علیه کنوانسیون ملی دموکراتها (DNC)، اتحادیه دموکرات مسیحی آلمان (CDU)، پارلمان و دولت ترکیه، پارلمان مونتهنگرو، آژانس جهانی ضد دوپینگ (WADA)، الجزیره و بسیاری از سازمانهای دیگر را در کارنامه خود دارد.
آنها همچنان از چندین برنامه مخرب که از نشانههای دسترسی OAuth برای دسترسی به حسابهای ایمیل هدف از جمله جیمیل و یاهو میل سوء استفاده میکنند، بهره میبرند.
چه چیزی باید بدانیم؟
یک هکر با یک توکن دسترسی OAuth میتواند از REST API اعطا شده توسط کاربر برای انجام عملکردهایی مانند جستجوی ایمیل و شمارش مخاطبان استفاده کند. با یک سرویس ایمیل مبتنی بر ابر، هنگامی که یک توکن دسترسی OAuth به یک برنامه مخرب اعطا شد، در صورت اعطای یک توکن «Refresh» که امکان دسترسی پسزمینه را فراهم میکند، به طور بالقوه میتواند به ویژگیهای حساب کاربری دسترسی طولانیمدت داشته باشد.
این حمله چگونه اتفاق میافتد؟
مهاجمان ممکن است از نشانههای دسترسی برنامه برای دور زدن فرآیند احراز هویت معمولی و دسترسی به حسابها، اطلاعات یا خدمات محدود در سیستمهای راه دور استفاده کنند. این توکنها معمولاً از کاربران به سرقت میروند و بهجای اعتبار ورود استفاده میشوند.
توکنهای دسترسی به خطر افتاده ممکن است به عنوان گام اولیه برای به خطر انداختن سایر خدمات استفاده شوند. به عنوان مثال، اگر یک توکن به ایمیل اصلی قربانی اجازه دسترسی بدهد، مهاجم ممکن است بتواند با راهاندازی روتینهای رمز عبور فراموششده، دسترسی به سایر سرویسهایی را که هدف در آنها مشترک است، گسترش دهد.
دسترسی مستقیم API از طریق یک توکن، اثربخشی یک عامل احراز هویت دوم را نفی میکند و ممکن است از اقدامات متقابلی مانند تغییر رمز عبور مصون باشد.
منبع: Splunk
دریافت صفحه با کد QR