هکرها با حمله سایبری و جعل هویت مقامات دولتی از طریق WhatsApp و Signal، کاربران Microsoft 365 را فریب میدهند و اطلاعاتشان را میدزدند.
به گزارش تکراتو و به نقل از lifehacker، یک حمله سایبری جدید کاربران Microsoft 365 را از طریق پیامرسانهای Signal و WhatsApp هدف قرار داده است. در این روش، هکرها با جعل هویت مقامات دولتی تلاش میکنند به حسابهای کاربری دسترسی پیدا کنند.
بر اساس گزارش سایت Bleeping Computer، مهاجمان که گمان میرود روسهایی باشند که خود را به عنوان مقامات سیاسی یا دیپلماتهای اروپایی معرفی میکنند، کارکنان سازمانهایی که در زمینه مسائل مربوط به اوکراین و حقوق بشر فعالیت دارند را هدف قرار دادهاند.
هدف نهایی این حمله این است که قربانیان روی یک لینک فیشینگ OAuth کلیک کنند و از این طریق اطلاعات ورود به حساب Microsoft 365 خود را در اختیار مهاجمان قرار دهند.
این کلاهبرداری که اولین بار توسط شرکت امنیت سایبری Volexity کشف شد، بیشتر روی سازمانهای مرتبط با اوکراین تمرکز داشته است، اما روش مشابهی میتواند برای سرقت دادههای کاربران یا کنترل دستگاههای آنها در سطح گستردهتر هم استفاده شود.
در این حمله، معمولا قربانیان پیامی از طریق Signal یا WhatsApp دریافت میکنند که فرستنده خود را به عنوان یک مقام سیاسی یا دیپلمات معرفی کرده و از آنها دعوت میکند در یک تماس ویدیویی یا کنفرانسی درباره مسائل مرتبط با اوکراین شرکت کنند.
به گفته Volexity، مهاجمان ممکن است ادعا کنند از سوی ماموریت اوکراین در اتحادیه اروپا، هیئت دائم جمهوری بلغارستان در ناتو یا نمایندگی دائم رومانی در اتحادیه اروپا ارتباط برقرار کردهاند.
در برخی موارد، حمله با ارسال ایمیلی از یک حساب هک شده دولتی اوکراین شروع میشود و پس از آن ارتباط از طریق Signal و WhatsApp ادامه پیدا میکند.
پس از برقراری ارتباط، مهاجمان یک فایل PDF شامل دستورالعملهایی به همراه یک لینک فیشینگ OAuth برای قربانیان ارسال میکنند. وقتی کاربر روی لینک کلیک میکند، وارد صفحهای میشود که از او میخواهد در Microsoft یا برنامههای شخص ثالثی که از OAuth Microsoft 365 استفاده میکنند، وارد شود.
پس از آن کاربر به صفحهای منتقل میشود که یک کد تأیید دریافت میکند و از او خواسته میشود این کد را برای ورود به جلسه به اشتراک بگذارد. این کد که تا ۶۰ روز معتبر است، امکان دسترسی مهاجمان به ایمیل و سایر منابع Microsoft 365 را حتی پس از تغییر رمز عبور قربانیان فراهم میکند.
این حمله یکی از چندین تهدید اخیر است که از سیستم احراز هویت OAuth سوءاستفاده میکند و به همین دلیل ممکن است از لحاظ فنی تشخیص آن دشوار باشد. Volexity پیشنهاد میکند که کاربران تنظیمات دسترسی مشروط به دستگاههای تایید شده را برای حسابهای Microsoft 365 فعال کنند و هشدارهای ورود را نیز روشن نمایند.
کاربران همچنین باید نسبت به تاکتیکهای مهندسی اجتماعی که بر روانشناسی انسانی برای موفقیت در حملات فیشینگ و دیگر حملات سایبری تکیه دارند، هوشیار باشند.
نمونههایی از این روشها شامل پیامهای غیرمعمول یا غیرمنتظره از افراد مورد اعتماد، پیامهایی که باعث واکنشهای احساسی مانند ترس یا کنجکاوی میشود و درخواستهای فوری یا پیشنهادهای بیش از حد خوب به نظر میرسد است.
یک راهنمای مهندسی اجتماعی منتشر شده توسط CSO توصیه میکند کاربران با رویکرد ذهنی بیاعتماد پیش بروند و به علائم هشداردهندهای مانند اشتباهات نگارشی و دستوری و درخواست برای کلیک روی لینک یا باز کردن فایلهای پیوست توجه کنند.
تصاویر منتشر شده توسط Volexity از پیامهای Signal و WhatsApp نشان میدهد که اشتباهات کوچک در متن این پیامها میتواند نشانه جعلی بودن آنها باشد.
source