نسل جدید فیشینگ از طریق سرویس‌های معتمد

نسل جدید فیشینگ از طریق سرویس‌های معتمد
تاریخ انتشار : ۲۸ فروردين ۱۴۰۲

مدت‌هاست که دیگر ‌ایمیل‌ها عامل اصلی در اجرای حملات فیشینگ نیستند و سرویس‌های دیگر از جمله پیامک، پیام صوتی، رسانه‌های اجتماعی، برنامه‌های پیام‌رسان و حتی سرویس‌های آژور (Azure) و سرویس وب آمازون (AWS) طرفدار پیدا کرده‌اند.

"پایگاه رسانه‌ای گرداب جهت اطلاع و افزایش دانش و سواد فضای مجازی مخاطبان خود و به ویژه دانشجویان، پژوهشگران و تصمیم‌گیران، ترجمه‌هایی در این زمینه منتشر می‌کند. بدیهی است انتشار این مطالب، لزوما به معنای تایید محتوای آن نیست. "

به گزارش گرداب، با گسترش محاسبات ابری، وجود طرح‌های فیشینگ مبتنی بر نرم‌افزار به عنوان سرویس (SaaS) هم امکان‌پذیر است.

تنوع زیادی در روش‌های فیشینگ ایجاد شده است و به همان اندازه حجم حملات افزایش یافته‌اند. توصیه می‌شود که متخصصان امنیتی بیش از پیش هوشیار و آماده باشند.

فیشینگ SaaS به  SaaS

به جای طراحی صفحات فیشینگ از صفر، مجرمان سایبری برای اجرای بدافزار‌های خود بیشتر به پلتفرم‌های تأسیس شده SaaS روی می‌آورند. با استفاده از دامنه‌های معتمد و قانونی برای میزبانی کمپین‌های فیشینگ، احتمال مشخص شدن آن‌ها توسط موتور‌های شناسایی کم می‌شود و از آن جایی که کار با پلتفرم‌های SaaS به تخصص فنی بالایی نیاز ندارد، هکر‌های تازه کار هم به راحتی می‌توانند حمله را اجرا کنند.

تعداد URL‌های فیشینگ میزبانی شده در پلتفرم‌های قانونی SaaS به طور قابل توجهی در حال افزایش است. طبق گزارش واحد ۴۲ پالو آلتو، نرخ URL‌های فیشینگ تازه شناسایی شده در پلتفرم‌های قانونی SaaS از ژوئن ۲۰۲۱ تا ژوئن ۲۰۲۲ بیش از ۱۱۰۰% افزایش یافته است.

به گفته متخصص سایبری زِن چان (Zen Chan) از HackerNoon، مجرمان سایبری از پلتفرم‌های SaaS مبتنی بر ابر برای راه‌اندازی حملات فیشینگ بدون نیاز به دسترسی به رایانه‌ها یا شبکه‌های داخلی قربانیان استفاده می‌کنند.

چان می‌گوید فیشینگ مبتنی بر SaaS، کار اقدامات امنیتی سنتی مانند آنتی اسپم گیت وی، سندباکسینگ و فیلتر URL برای شناسایی این فعالیت‌های مخرب را دشوار می‌کند. با گسترش استفاده از ابزار‌ها و آفیس مبتنی بر ابر، مجرمان سایبری می‌توانند به راحتی اسناد، فایل‌ها و بدافزار‌های مخرب را در دامنه‌های معتبر قرار داده و پخش کنند.

وخامت اوضاع زمانی مشخص می‌شود که متوجه شویم به احتمال زیاد پلتفرم‌هایی مانند گوگل درایو و دراپ باکس منبع فایل‌های مخرب دانلود شده هستند. بدافزار می‌تواند در این پلتفرم‌ها به شکل یک تصویر، عکس صورت حساب،PDF  یا یک فایل کاری مهم پنهان شود.

مشکل اینجاست که در فضای ذخیره‌سازی ابری، فایل‌ها رمزگذاری شده‌اند و ابزار‌های امنیتی نمی‌توانند آن را تشخیص دهند. همان‌طور که محققان CheckPoint توضیح دادند، این فایل‌های مخرب فقط در دستگاه قربانی رمزگشایی می‌شوند.

نمونه‌هایی از پلتفرم‌های SaaS مورد استفاده در کمپین‌های فیشینگ عبارتند از:

- اشتراک‌گذاری فایل
- سازندگان فرم
- سازندگان وبسایت
- ابزار یادداشت برداری/ جمعی
- طراحی/ نمونه اولیه/ وایرفریم
- برندسازی شخصی

فیشینگ با آژور

اخیراً تحلیلگران تهدیدات مایکروسافت نوع جدیدی از طرح پیچیده فیشینگ را شناسایی کرده‌اند. این کمپین از اطلاعات ورود به سیستم دزدیده شده برای ثبت دستگاه‌های خطرناک به شبکه استفاده می‌کند. سپس مجرمان از دستگاه‌هایی که به آن‌ها نفوذ کرده‌اند برای ارسال و انتشار ‌ایمیل‌های فیشینگ استفاده می‌کنند.

دلیل موفقیت این نوع حملات عمدتاً غیرفعال بودن MFA در حساب‌ها بوده است. مجرمان از یک روش ‌ایمیلی با مضمون DocuSign استفاده می‌کنند که گیرندگان ‌ایمیل را فریب می‌دهد تا روی لینک سندی که باید بررسی و امضا کنند، کلیک بزنند و به این ترتیب به اطلاعات ورودی سیستم گیرنده دسترسی پیدا می‌کنند.