مایکروسافت از کمپین جهانی سرقت هویت پرده برداشت!

 ۱. روانشناسی حمله: سوءاستفاده از ترس و «منشور اخلاقی»

هکرها در این کمپین به جای استفاده از روش‌های تکراری، روی موضوعات حساس سازمانی تمرکز کردند.

• موضوعات فریبنده: ایمیل‌ها با عناوینی نظیر «بازبینی منشور اخلاقی« (Code of Conduct)»، «گزارش رفتار تیمی» و «پرونده عدم انطباق کارمند» ارسال شده‌اند.
• ایجاد فوریت: استفاده از جملاتی که نشان‌دهنده یک «پرونده باز» علیه کارمند است، باعث ایجاد استرس و فشار روانی شده تا کاربر بدون فکر کردن، روی لینک‌ها کلیک کند.
• ظاهر حرفه‌ای: برخلاف ایمیل‌های فیشینگ قدیمی، این پیام‌ها از قالب‌های HTML بسیار تمیز و ساختاریافته استفاده کرده‌اند که شامل بیانیه‌های اصالت کاذب بوده‌اند تا اعتماد کاربر را جلب کنند.
  
  

۲. تکنیک AiTM؛ عبور از سد تایید هویت دو مرحله‌ای (2FA)

بزرگترین خطر این کمپین، استفاده از روش Adversary‑in‑the‑Middle (AiTM) است.

• سرقت توکن: هکرها تنها به دنبال رمز عبور نبودند؛ آن‌ها با قرار گرفتن در میان کاربر و سرور واقعی مایکروسافت، «توکن‌های احراز هویت» را در لحظه سرقت کردند.
• بای‌پسMFA: با این روش، حتی اگر کاربر رمز دوم (MFA) داشته باشد، هکر می‌تواند مستقیماً وارد حساب کاربری او شود، چرا که توکن نهایی را در اختیار دارد.
  
  

۳. بخش‌های هدف: سلامت و خدمات مالی در صدر لیست

گزارش تیم هوش تهدید مایکروسافت نشان می‌دهد که هکرها با دقت بخش‌های حساس را انتخاب کرده‌اند:

• بهداشت و علوم زیستی: ۱۹درصد از کل حملات.
• خدمات مالی: ۱۸درصد از حملات.
• خدمات حرفه‌ای و تکنولوژی: ۲۲درصد از حملات قابل توجه است که ۹۲درصد از اهداف این کمپین در ایالات متحده مستقر بوده‌اند.
  
  

۴. روند فیشینگ در سال ۲۰۲۶: انفجار کدهای QR

مایکروسافت در تحلیل خود اشاره کرده است که بین ژانویه تا مارس ۲۰۲۶، بیش از ۸.۳ میلیارد تهدید مبتنی بر ایمیل را شناسایی کرده است.

• رشد خیره‌کنندهQR Code: استفاده از کدهای QR در ایمیل‌ها برای مخفی کردن لینک‌های مخرب، ۱۴۶درصد رشد داشته و از ۷.۶ میلیون در ژانویه به ۱۸.۷ میلیون در مارس رسیده است.
• استفاده ازCAPTCHA: هکرها برای دور زدن سیستم‌های دفاعی خودکار، صفحات فیشینگ خود را پشت تست‌های CAPTCHA مخفی می‌کنند تا ربات‌های امنیتی نتوانند محتوای مخرب را اسکن کنند.
  
  

۵. سوءاستفاده از اعتماد به آمازون (SES)

تحقیقات نشان می‌دهد مهاجمان با سرقت کلیدهای دسترسی Amazon SES، ایمیل‌های خود را از طریق زیرساخت‌های معتبر آمازون ارسال می‌کنند. این کار باعث می‌شود ایمیل‌ها با موفقیت از فیلترهای SPF و DKIM عبور کنند و سیستم‌های امنیتی به آن‌ها مشکوک نشوند.

توصیه‌های پیشگیرانه تحریریه ۲۴ نیوز:

1. آموزش کارکنان: هرگونه ایمیل با موضوع «تخلف انضباطی» یا «منشور اخلاقی» را ابتدا از طریق تماس مستقیم با بخش HR (منابع انسانی) تایید کنید.
2. حساسیت به کدهایQR: از اسکن کردن کدهای QR داخل ایمیل‌های سازمانی خودداری کنید؛ این سریع‌ترین راه برای انتقال به صفحات فیشینگ در موبایل است.
3. بررسی لینک‌هایPDF: هکرها در این کمپین از پیوست‌های PDF برای مخفی کردن لینک نهایی استفاده کرده‌اند؛ همیشه قبل از کلیک، آدرس مقصد را بررسی کنید.

ماراتن ۱۲۰ وصله امنیتی؛ مایکروسافت شکاف‌های بهار ۲۰۲۶ را بست در ادامه حتما بخوانید

برگردان و تنظیم: تحریریه ۲۴ نیوز (بهراد یوسفی)