اخبار

حملات فیشینگ جدید احراز هویت دومرحله‌ای را دور می‌زنند! – ویدیو

با استفاده از یک ابزار آزمون نفوذ جدید برای خودکارسازی حملات فیشینگ، هکرها می‌توانند به‌صورت بالقوه احراز هویت دومرحله‌ای (۲FA) را دور بزنند. این ابزار برای کمپین‌های بین‌المللی فیشینگ ساخته‌شده است که استفاده از آن بسیار آسان و مؤثر نیز هست.

بنا بر گزارش‌ها “Dubbed Modlishka” که یک عبارت لهستانی به معنای «آخوندک» است، ابزاری است که می‌تواند عملیات ورود به آن دسته از حساب‌های کاربری که از احراز هویت دومرحله‌ای بهره می‌برند را دور بزند. این عمل مهاجم را قادر می‌سازد عبور جریان ترافیک اصلی TLS روی مرورگر قربانی را به‌طور کامل کنترل کند.

یک کاربر GitHub در مورد شکسته شدن ۲FA سؤال کرده بود که Duszynski محقق حوزه‌ی امنیت در این رابطه توضیح داد که احراز هویت دو مرحله‌ای شکسته نشده است. بلکه همه‌چیز به مهندسی اجتماعی بازمی‌گردد که باید در مورد آن هشیار بود. مهندسی اجتماعی می‌تواند بر اساس ایمیل، تلفن، پست یا حتی ارتباطات رودررو اتفاق بیافتد.

وقتی نمی‌خواهید همیشه بررسی کنید که آیا نام دامنه در URL نوار آدرس مرورگر شما مخرب بوده یا یک URL جعلی است، بحث استفاده از پروتکل U2F (Universal 2nd Factor) مطرح می‌شود.

بنابراین ازآنجایی‌که مجرمان اینترنتی می‌توانند ۲FA را دور بزنند، احراز هویت دومرحله‌ای باید بخشی از قسمت احراز هویت باشد، نه کل آن. به همین دلیل شرکت‌ها از ابزارهای احراز هویت چندلایه استفاده می‌کنند که می‌تواند قانونی بودن یک تراکنش را از زوایای مختلف موردبررسی قرار دهد. به‌این‌ترتیب، اگر یکی از لایه‌ها توسط یک مهاجم فریب‌کار دور زده شود، لایه‌ها یا ابزارهای دیگر آن را شناسایی خواهند کرد. این سطح از دفاع عمیق است که اجازه می‌دهد شرکت‌ها در راستای مقابله با مجرمان اینترنتی، یک تجربه استثنایی برای مشتریان خود به ارمغان بیاورند.

احراز هویت دو مرحله‌ای شکسته نشده است. بلکه همه‌چیز به مهندسی اجتماعی بازمی‌گردد که باید در مورد آن هشیار بود. مهندسی اجتماعی می‌تواند بر اساس ایمیل، تلفن، پست یا حتی ارتباطات رودررو اتفاق بیافتد.

بااین‌حال، Duszynski می‌گوید که بر اساس تجربیات او به‌عنوان یک آزمونگر نفوذ، استفاده از روش مهندسی اجتماعی برای نفوذ و سرقت اطلاعات قربانیان بسیار موفقیت‌آمیز است. به گفته‌ی او برای عبور از پیشرفته‌ترین موانع و محافظت‌های امنیتی همواره نیازی به استفاده از آسیب‌پذیری‌های روز صفرم نیست؛ چراکه برای به خطر انداختن زیرساخت‌های داخلی و اطلاعات یک سازمان، شرکت و یا حتی اطلاعات خصوصی یک فرد، فقط چند ایمیل یا تماس تلفنی کافی است.

مطالب مرتبط:
حمله‌ی فیشینگ چیست؟
نرم‌افزارهای مخرب دوربین سلفی در بین برنامه‌های محبوب اندروید
استفاده از سامانه ابری گوگل برای حمله به بانک‌های آمریکا

منبع: info security

حملات فیشینگ جدید احراز هویت دومرحله‌ای را دور می‌زنند! – ویدیو

آگاهی رسانی، پشتیبانی و امداد رایانه‌ای در حوزه امنیت فضای تبادل اطلاعات

cert.znu.ac.ir
certoffice@znu.ac.ir
TelFax: 024-33054210

خدمات مرکز آپا:


  • آزمون نفوذ و کشف آسیب پذیری
  • رسیدگی به حوادث شبکه‌های رایانه‌ای
  • ارائه مشاوره در زمینه امنیت
  • ارزیابی امنیت و صدور گواهی‌نامه
  • امن‌سازی اتوماسیون صنعتی
  • انجام طرح‌های پژوهشی در زمینه امنیت
  • برگزاری دوره‌های تخصصی آموزشی ویژه مدیران و کارشناسان سازمان‌ها
To Top