با استفاده از یک ابزار آزمون نفوذ جدید برای خودکارسازی حملات فیشینگ، هکرها میتوانند بهصورت بالقوه احراز هویت دومرحلهای (۲FA) را دور بزنند. این ابزار برای کمپینهای بینالمللی فیشینگ ساختهشده است که استفاده از آن بسیار آسان و مؤثر نیز هست.
بنا بر گزارشها “Dubbed Modlishka” که یک عبارت لهستانی به معنای «آخوندک» است، ابزاری است که میتواند عملیات ورود به آن دسته از حسابهای کاربری که از احراز هویت دومرحلهای بهره میبرند را دور بزند. این عمل مهاجم را قادر میسازد عبور جریان ترافیک اصلی TLS روی مرورگر قربانی را بهطور کامل کنترل کند.
یک کاربر GitHub در مورد شکسته شدن ۲FA سؤال کرده بود که Duszynski محقق حوزهی امنیت در این رابطه توضیح داد که احراز هویت دو مرحلهای شکسته نشده است. بلکه همهچیز به مهندسی اجتماعی بازمیگردد که باید در مورد آن هشیار بود. مهندسی اجتماعی میتواند بر اساس ایمیل، تلفن، پست یا حتی ارتباطات رودررو اتفاق بیافتد.
وقتی نمیخواهید همیشه بررسی کنید که آیا نام دامنه در URL نوار آدرس مرورگر شما مخرب بوده یا یک URL جعلی است، بحث استفاده از پروتکل U2F (Universal 2nd Factor) مطرح میشود.
بنابراین ازآنجاییکه مجرمان اینترنتی میتوانند ۲FA را دور بزنند، احراز هویت دومرحلهای باید بخشی از قسمت احراز هویت باشد، نه کل آن. به همین دلیل شرکتها از ابزارهای احراز هویت چندلایه استفاده میکنند که میتواند قانونی بودن یک تراکنش را از زوایای مختلف موردبررسی قرار دهد. بهاینترتیب، اگر یکی از لایهها توسط یک مهاجم فریبکار دور زده شود، لایهها یا ابزارهای دیگر آن را شناسایی خواهند کرد. این سطح از دفاع عمیق است که اجازه میدهد شرکتها در راستای مقابله با مجرمان اینترنتی، یک تجربه استثنایی برای مشتریان خود به ارمغان بیاورند.
احراز هویت دو مرحلهای شکسته نشده است. بلکه همهچیز به مهندسی اجتماعی بازمیگردد که باید در مورد آن هشیار بود. مهندسی اجتماعی میتواند بر اساس ایمیل، تلفن، پست یا حتی ارتباطات رودررو اتفاق بیافتد.
بااینحال، Duszynski میگوید که بر اساس تجربیات او بهعنوان یک آزمونگر نفوذ، استفاده از روش مهندسی اجتماعی برای نفوذ و سرقت اطلاعات قربانیان بسیار موفقیتآمیز است. به گفتهی او برای عبور از پیشرفتهترین موانع و محافظتهای امنیتی همواره نیازی به استفاده از آسیبپذیریهای روز صفرم نیست؛ چراکه برای به خطر انداختن زیرساختهای داخلی و اطلاعات یک سازمان، شرکت و یا حتی اطلاعات خصوصی یک فرد، فقط چند ایمیل یا تماس تلفنی کافی است.
مطالب مرتبط:
حملهی فیشینگ چیست؟
نرمافزارهای مخرب دوربین سلفی در بین برنامههای محبوب اندروید
استفاده از سامانه ابری گوگل برای حمله به بانکهای آمریکا
منبع: info security
