در اغلب کمپینهای فیشینگ، هدف هکر فریب کاربر و استخراج نام کاربری و رمز عبور او است. به تازگی کمپین جدیدی کشف شده که در آن هکرها بدون نیاز به دریافت نام کاربری و رمز عبور، با استفاده از اپلیکیشن دستکاری شده آفیس ۳۶۵، میتوانند به حساب کاربران دسترسی پیدا کنند.
در این روش، هکرها یک ایمیل فیشینگ طراحی شده به کاربر ارسال میکنند طوری که به نظر برسد این ایمیل از طرف Sharepoint یا OneDrive ارسال شده است. هدف نهایی این کار ترغیب کاربر به کلیک کردن لینک داخل ایمیل است.
روش استفاده شده در این حمله، قبلا در سال ۲۰۱۷ مشاهده شده بود. در آن کمپین هکرها از ابزارهای Google Docs استفاده کرده و ایمیل میلیونها کاربر را هک کردند.
تلههای بکار رفته در حمله اخیر، نکته قابل توجهی ندارد و همه آنها را تا به حال در حملات مشابه به کرات دیدهایم. نکته قابل توجه در این حمله، لینکی است که در داخل ایمیل استفاده شده است:
hXXps://login{dot}microsoftonline{dot}com/common/oauth2/v2.0/authorize?%20client_id=fc5d3843-d0e8-4c3f-b0ee-6d407f667751&response_type=id_token+code&redirect_uri=https%3A%2F%2Fofficemtr.com%3A8081%2Foffice&scope=offline_access%20contacts.read%20user.read%20mail.read%20notes.read.all%20mailboxsettings.readwrite%20Files.ReadWrite.All%20openid%20profile&state=12345Ajtwmd&response_mode=%20form_post&nonce=YWxsYWh1IGFrYmFy
هاستی که در لینک بالا مشاهده میکنید (login.microsoftonline.com) کاملا قانونی است و توسط مایکروسافت مدیریت میشود. اگر به این لینک مراجعه کنید با صفحه لاگین قانونی و اصلی مایکروسافت مواجه خواهید شد.
پس از اینکه نام کاربری و رمز عبور خود را وارد کردید صفحه زیر برایتان نمایش داده خواهد شد:
در این قسمت مجوز یک سری از دسترسیها از کاربر درخواست شده است. مطالعه دقیق آنها هر شخص عادی را هوشیار میکند، اما متاسفانه اغلب ما بدون توجه به جزئیات درخواست شده در چنین مجوزهای دسترسی، بلافاصله دکمه Accept را میزنیم. در تصاویر بالا مجوز موارد زیر از کاربر درخواست شده است:
۱. حفظ دسترسی به دادههایی که اجازه دسترسی به آنها را صادر کردهاید.
۲. مشاهده محتوای شما
۳. لاگین شدن از طرف شما و مشاهده پروفایلتان
۴. مشاهده ایمیلهای شما
۵. مشاهده تمامی فایلهای OneNote قابل دسترس برای شما
۶. امکان دستکاری تنظیمات ایمیل
۷. دسترسی کامل به تمام اطلاعاتی که شما به آن دسترسی دارید
زمانی که اپلیکیشن بالا را تایید کنید، در واقع حساب کاربری آفیس ۳۶۵ خود را به طور کامل در اختیار هکر قرار دادهاید که شامل دسترسی به لیست مخاطبان، ایمیلها و تمامی فایلهای قابل دسترس برای شما میباشد.
این صفحه تقریبا یک سال قبل و با استفاده از اطلاعات صفحه اصلی، طراحی شده است. احتمالا به این علت که قبلا آفیس مورد حمله قرار گرفته بود این اطلاعات برای هکرها قابل دسترس بوده و با استفاده از آن اطلاعات امکان توسعه اپلیکیشن مخربشان فراهم شده است.
برای رفع آسیبهای ناشی از این حمله، تغییر رمز عبور کافی نیست. برای اینکه بتوان دسترسی هکر را قطع کرد، باید ارتباط اپلیکیشن و حساب کاربری شما به طور کلی متوقف گردد.
به صورت پیشفرض همه کاربران میتوانند افزونه های متعددی را به اپلیکیشن Outlook خود متصل کنند. علاوه بر این، مایکروسافت به افزونه ها و اپلیکیشنهای آفیس ۳۶۵ اجازه میدهد تا از کانالهای جانبی و بدون عبور از سیستم امنیتی آفیس استور، بر روی سیستم کاربران نصب شوند. بنابراین هیچ گونه نظارتی بر روی این فرایندها وجود نخواهد داشت. به عبارت دیگر، هکرها میتوانند هر اپلیکیشن مخربی را از زیر ساختهای تحت کنترل خود مدیریت کنند. برای دریافت دسترسی و مجوزهای مورد نیاز، تنها یک کلیک از سوی کاربر کافی است.
هنوز نظری ثبت نشده است. شما اولین نظر را بنویسید.