مایکروسافت کمپین کلاه برداری آنلاین با هدف گیری مدیران عامل را خنثی کرد

تیم امنیتی مایکروسافت موفق شد حمله‌ی سایبری گسترده‌ای را خنثی کند که مدیران عامل را در سرتاسر نقاط جهان هدف قرار داده بود.

مایکروسافت از خنثی‌سازی کمپین کلاه‌برداری بزرگی خبر داد که با سوءاستفاده از دامنه‌ها و اپلیکیشن‌های مخرب، کاربران را در ۶۲ کشور جهان هدف قرار داده بود. هفته‌ی گذشته، ردموندی‌ها با دریافت مجوز دادگاهی امکان مسدودسازی ۶ دامنه‌ی اینترنتی را پیدا کردند که در پنج نام آن‌ها، کلمه‌ی Office دیده می‌شد. این شرکت می‌گوید مجرمان سایبری با سوءاستفاده از دامنه‌ها، کمپینی پیچیده را برای فریب‌دادن مدیران عامل در سازمان‌های گوناگون طراحی کرده بودند تا پول‌های فراوانی از آن‌ها دریافت کنند.

کمپین کلاه‌برداری اخیر تصمیم گرفته بود مدیران عامل را به ارسال پول به مجرمان به‌جای منابع معتبر فریب دهد. برنامه‌های این‌چنینی که به‌نام BEC یا Business email compromise شناخته می‌شوند، قبلا و در دسامبر هم شناسایی شده بود. مجرمان در حمله‌ی مذکور تلاش می‌کردند با استفاده از ابزارهای فیشینگ به سیستم‌‌های سازمانی دسترسی پیدا کنند. ایمیل کلاه‌برداری از طراحی و ساختارهای مشابه ایمیل‌های سازمانی بهره می‌برد. به‌عنوان مثال، موضوع‌‌هایی همچون گزارش‌های فصلی مالی در ایمیل‌ها ذکر می‌شد. درنهایت، مایکروسافت با استفاده از ابزارهای فنی خود توانست کمپین‌های کلاه‌برداری را مسدود کند.

مجرمان سایبری در حمله‌ی ‌BEC اخیر خود رویکرد جدیدی در پیش گرفته‌اند. حمله‌ی اخیر از ساختارهای مرسوم، یعنی فریب‌دادن کاربر به ورود به وب‌سایت تقلبی و سرقت رمزعبور او، استفاده نمی‌کند. درعوض، ایمیلی برای کلاه‌برداری به قربانی ارسال می‌شود تا دسترسی به حساب کاربری آفیس ۳۶۵ را به اپلیکیشن مایکروسافت بدهد. کمپین کلاه‌برداری جدید از نگرانی بابت همه‌گیری کووید ۱۹ نیز برای فریب‌دادن کاربران سوءاستفاده می‌کرد.

تیم برت، معاون ارشد مایکروسافت در بخش امنیت و اعتماد مشتریان، درباره‌ی کمپین اخیر نوشت:

حرکت جدید بدون درخواست از قربانی برای ارائه‌ی مستقیم اطلاعات ورود به حساب کاربری در وب‌سایت یا محیط تقلبی دیگر، دسترسی غیرقانونی را دریافت می‌کرد. درواقع، مجرمان از روش‌های سنتی فیشینگ در کمپین جدید استفاده نمی‌کردند. قربانی پس از کلیک روی فرمان مجوز به وب‌اپلیکیشن مخرب، مجوز دسترسی و کنترل محتوای حساب کاربری آفیس ۳۶۵ خود را به مجرمان می‌داد. محتوای حساب کاربری نیز مواردی همچون ایمیل‌ها، مخاطبان، یادداشت‌ها و فایل‌های موجود در سرویس ابری کسب‌وکاری وان‌درایو را شامل می‌شد. به‌علاوه، مجرمان به سیستم مدیریت اسناد شیرپوینت و سیستم ذخیره‌سازی سازمان هم دسترسی پیدا می‌کردند.

برت درادامه به گزارشی متعلق به سال ۲۰۱۹ از FBI اشاره می‌کند که رقم خسارت مالی حمله‌های سایبری BEC را حدود ۱/۷ میلیارد دلار بیان کرده بود. چنین آماری یعنی نیمی از خسارت‌های مالی سازمانی مرتبط با تهدیدهای سایبری ازطریق BEC رخ می‌دهد. درادامه‌ی گزارش گفته می‌شود شکایت‌‌های پرهزینه‌ی دریافت‌شده در Internet Crime Center به کلاه‌برداری‌های BEC مربوط هستند. در برخی از کمپین‌های حرفه‌ای کلاه‌برداری، مدیران ایمیل‌‌هایی دریافت می‌کنند که ظاهرا مدیران دیگر و حسابداران یا دیگر افراد شاغل در سازمان ارسال کرده‌اند. برت به اسم گروه یا فرد مجرم کمپین کلاه‌برداری اخیر اشاره‌ای نکرد؛ اما تنها گفت همان مجرمان حمله‌های دسامبر را هم مدیریت می‌کرده‌اند.

این اولین مرتبه‌ای نیست که مجرمان سایبری مدیران را به ارائه‌ی دسترسی شبکه به اپلیکیشن‌های مخرب فریب می‌دهند؛ زیرا سال گذشته، محققان امنیتی دو کمپین مشابه را گزارش دادند که هر دو با هدف کسب دسترسی به حساب‌های کاربری گوگل طراحی شده بودند. سازمان Amnesty International می‌گوید یکی از کمپین‌ها را گروه هکری در مصر طراحی کرده بود و دیگری با هدف‌گیری دستگاه‌های اندرویدی و iOS شهروندان ساکن تبت اجرا می‌شد.

هر دو کمپین کلاه‌برداری که سال گذشته اجرا شد، ازطریق سیستم OAuth به سیستم کاربر نفوذ می‌کرد. این استاندارد باز به کاربران امکان می‌دهد دسترسی به منابع شبکه را بدون نیاز به ارائه‌ی رمزعبور به وب‌سایت‌ها و اپلیکیشن‌های گوناگون بدهند. مایکروسافت می‌گوید کاربرانی که حمله‌های فیشینگ را می‌شناسند، حمله‌های این‌چنینی را عموما شناسایی نمی‌کنند. همان‌طورکه گفته شد، در این حمله‌ها کاربر برای واردکردن رمزعبور در وب‌سایت تقلبی فریب داده نمی‌شود و درنتیجه، شک کمتری به‌همراه دارند. در برخی مواقع، سیستم OAuth امکان عبور از سیستم اعتبارسنجی دومرحله‌ای را هم دارد. سیستم 2FA علاوه‌بر واردکردن رمزعبور، از کاربر می‌خواهد رمزعبور موقت دومی را هم وارد یا دستگاهی فیزیکی را برای تأیید نهایی به سیستم متصل کند.

در صحبت‌های برت به اتصال اپلیکیشن‌ها و وب‌سایت‌های مخرب اخیر با سوءاستفاده از سیستم OAuth اشاره‌ی مستقیمی نمی‌شود؛ البته مایکروسافت در پست دیگری که مستقل منتشر شد، به‌طورشفاف به روش Consent Phishing اشاره کرد که مجرمان در آن، از همان روش OAuth استفاده می‌کنند.

در میان راهکارهایی که مایکروسافت برای حفاظت از حمله‌های سایبری مشابه در پست خود ارائه می‌کند، اعتبارسنجی دومرحله‌ای یا 2FA هم دیده می‌شود. فعال‌کردن قابلیت مذکور برای اکثر حساب‌های کاربری اقدامی کاربردی و مفید محسوب می‌شود؛ اما هنوز سطح تأثیرگذاری و افزایش ایمنی آن در کمپین‌‌هایی همچون BEC مشخص نیست. برخی از شبکه‌ها احتمالا مرحله‌ی امنیتی دوم را برای ورود OAuth به شبکه درخواست نمی‌کنند. به‌علاوه، حتی زمان‌هایی که برای OAuth هم لایه‌ی امنیتی دوم فعال شود، قربانیان به‌اندازه‌ی کافی فریب خورده‌اند تا رمز دوم را هم دراختیار مجرم سایبری قرار دهند.

یکی از راه‌هایی که برای محافظت حساب کاربری گوگل و G Suite پیشنهاد می‌شود، فعال‌سازی Advanced Protection در حساب کاربری است. این بخش سیستم 2FA را مبتنی‌بر سخت‌افزار فعال می‌کند؛ درنتیجه، هر دستگاه جدید برای اولین ورود به حساب کاربری، باید از لایه‌ی سخت‌افزاری دوم عبور کند. برنامه‌ی مذکور دسترسی اتصال اکثر اپلیکیشن‌ها را حتی با واردکردن کلید ورود نیز محدود می‌کند. شاید بخش مذکور از حساب‌های گوگل را بتوان لایه‌ی امنیتی محکمی دربرابر حمله‌های سایبری برای همه‌ی کاربران دانست. به‌علاوه، احتمالا روش‌های حفاظتی 2FA جدیدی هم به سرویس‌های گوگل افزوده خواهد شد.

از روش‌های مهم مقابله با حمله‌های فیشینگ می‌توان به آموزش مدیران و کارمندان درباره‌ی الگوهای مشابه در حمله‌ها اشاره کرد. به‌عنوان مثال، غلط‌های املایی و گرامری یکی از الگوهای مشترک در میان وب‌سایت‌های تقلبی فیشینگ هستند. همچنین، وب‌سایت‌های فیشینگ اغلب به وب‌سایت‌هایی لینک می‌دهند که نام شرکت یا محصول درکنار عبارت‌هایی نه‌چندان مرتبط با شرکت سازنده ذکر می‌شود. درنهایت با وجود تمامی لایه‌های امنیتی، حمله‌های فیشینگ هنوز کاربرد و بازدهی فراوانی برای مجرمان سایبری دارند و ازجمله حمله‌های ارزان محسوب می‌شوند.