در اغلب کمپین‌های فیشینگ، هدف هکر فریب کاربر و استخراج نام کاربری و رمز عبور او است. به تازگی کمپین جدیدی کشف شده که در آن هکرها بدون نیاز به دریافت نام کاربری و رمز عبور، با استفاده از اپلیکیشن دستکاری شده آفیس ۳۶۵، می‌توانند به حساب کاربران دسترسی پیدا کنند.

در این روش، هکرها یک ایمیل فیشینگ طراحی شده به کاربر ارسال می‌کنند طوری که به نظر برسد این ایمیل از طرف Sharepoint یا OneDrive ارسال شده است. هدف نهایی این کار ترغیب کاربر به کلیک کردن لینک داخل ایمیل است.

روش استفاده شده در این حمله، قبلا در سال ۲۰۱۷ مشاهده شده بود. در آن کمپین هکرها از ابزارهای Google Docs استفاده کرده و ایمیل میلیون‌ها کاربر را هک کردند.

تله‌های بکار رفته در حمله اخیر، نکته قابل توجهی ندارد و همه آنها را تا به حال در حملات مشابه به کرات دیده‌ایم. نکته قابل توجه در این حمله، لینکی است که در داخل ایمیل استفاده شده است:

hXXps://login{dot}microsoftonline{dot}com/common/oauth2/v2.0/authorize?%20client_id=fc5d3843-d0e8-4c3f-b0ee-6d407f667751&response_type=id_token+code&redirect_uri=https%3A%2F%2Fofficemtr.com%3A8081%2Foffice&scope=offline_access%20contacts.read%20user.read%20mail.read%20notes.read.all%20mailboxsettings.readwrite%20Files.ReadWrite.All%20openid%20profile&state=12345Ajtwmd&response_mode=%20form_post&nonce=YWxsYWh1IGFrYmFy

هاستی که در لینک بالا مشاهده می‌کنید (login.microsoftonline.com) کاملا قانونی است و توسط مایکروسافت مدیریت می‌شود. اگر به این لینک مراجعه کنید با صفحه لاگین قانونی و اصلی مایکروسافت مواجه خواهید شد.

پس از اینکه نام کاربری و رمز عبور خود را وارد کردید صفحه زیر برایتان نمایش داده خواهد شد:

 

در این قسمت مجوز یک سری از دسترسی‌ها از کاربر درخواست شده است. مطالعه دقیق آنها هر شخص عادی را هوشیار می‌کند، اما متاسفانه اغلب ما بدون توجه به جزئیات درخواست شده در چنین مجوزهای دسترسی، بلافاصله دکمه Accept را می‌زنیم. در تصاویر بالا مجوز موارد زیر از کاربر درخواست شده است:

۱. حفظ دسترسی به داده‌هایی که اجازه دسترسی به آنها را صادر کرده‌اید.

۲. مشاهده محتوای شما

۳. لاگین شدن از طرف شما و مشاهده پروفایلتان

۴. مشاهده ایمیل‌های شما

۵. مشاهده تمامی فایلهای OneNote قابل دسترس برای شما

۶. امکان دستکاری تنظیمات ایمیل

۷. دسترسی کامل به تمام اطلاعاتی که شما به آن دسترسی دارید

زمانی که اپلیکیشن بالا را تایید کنید، در واقع حساب کاربری آفیس ۳۶۵ خود را به طور کامل در اختیار هکر قرار داده‌اید که شامل دسترسی به لیست مخاطبان، ایمیل‌ها و تمامی فایل‌های قابل دسترس برای شما می‌باشد.

این صفحه تقریبا یک سال قبل و با استفاده از اطلاعات صفحه اصلی، طراحی شده است. احتمالا به این علت که قبلا آفیس مورد حمله قرار گرفته بود این اطلاعات برای هکرها قابل دسترس بوده و با استفاده از آن اطلاعات امکان توسعه اپلیکیشن مخربشان فراهم شده است.

برای رفع آسیب‌های ناشی از این حمله، تغییر رمز عبور کافی نیست. برای اینکه بتوان دسترسی هکر را قطع کرد، باید ارتباط اپلیکیشن و حساب کاربری شما به طور کلی متوقف گردد.

به صورت پیش‌فرض همه کاربران می‌توانند افزونه های متعددی را به اپلیکیشن Outlook خود متصل کنند. علاوه بر این، مایکروسافت به افزونه ها و اپلیکیشن‌های آفیس ۳۶۵ اجازه می‌دهد تا از کانال‌های جانبی و بدون عبور از سیستم امنیتی آفیس استور، بر روی سیستم کاربران نصب شوند. بنابراین هیچ گونه نظارتی بر روی این فرایندها وجود نخواهد داشت. به عبارت دیگر، هکرها می‌توانند هر اپلیکیشن مخربی را از زیر ساخت‌های تحت کنترل خود مدیریت کنند. برای دریافت دسترسی و مجوزهای مورد نیاز، تنها یک کلیک از سوی کاربر کافی است.

نظرات

نظر (به‌وسیله فیس‌بوک)