کد خبر: ۴۳۴

forg365: فیشینگ به‌عنوان سرویس با AI مایکروسافت ۳۶۵ را دور زد

گزارش بهراد یوسفی درباره Forg365: فیشینگ به‌عنوان سرویس با AI مایکروسافت 365 را دور زد

پلتفرم Forg365 با هوش مصنوعی، فیشینگ مایکروسافت 365 را به‌عنوان سرویس ارائه می‌دهد؛ از Device-Code Phishing تا AiTM و رفرش خودکار کوکی.

 پژوهشگران امنیت سایبری از شناسایی Forg365  خبر داده‌اند؛ یک پلتفرم Phishing-as-a-Service (PhaaS)  که از طریق تلگرام عرضه می‌شود و به مهاجمان امکان می‌دهد بدون نیاز به ایجاد زیرساخت‌های پیچیده، حملات پیشرفته علیه حساب‌هایMicrosoft 365  را اجرا کنند.

بر اساس یافته‌های منتشرشده، Forg365 با ترکیب Device-Code Phishing، حملات Adversary-in-the-Middle (AiTM) ، قابلیت‌های مبتنی بر هوش مصنوعی و ابزارهای مدیریت نشست‌های سرقت‌شده، سطح جدیدی از پیچیدگی را وارد اکوسیستم حملات فیشینگ کرده است.

 

مدل کسب‌وکار اشتراکی برای مجرمان سایبری

Forg365  از مدل اشتراکی مشابه سرویس‌های نرم‌افزاری قانونی استفاده می‌کند و امکانات خود را در قالب پلن‌های مختلف ارائه می‌دهد، از جمله:

  • دوره آزمایشی ۳۰ روزه
  • اشتراک ماهانه
  • اشتراک سالانه با تخفیف

این مدل نشان می‌دهد بازار Phishing-as-a-Service  بیش از گذشته حرفه‌ای شده و مهاجمان، خدمات خود را همراه با پشتیبانی، به‌روزرسانی و توسعه مداوم عرضه می‌کنند.

 

Device-Code Phishing؛ حمله‌ای که MFA سنتی را دور می‌زند

یکی از مهم‌ترین قابلیت‌های Forg365 استفاده ازDevice-Code Phishing  است.

در این روش، قربانی به صفحه رسمی ورود مایکروسافت هدایت می‌شود و تصور می‌کند در حال انجام یک فرآیند احراز هویت معتبر است. اما با وارد کردن Device Code، در واقع مجوز دسترسی به حساب خود را برای مهاجم صادر می‌کند.

این تکنیک نشان می‌دهد احراز هویت چندمرحله‌ای (MFA) مبتنی بر پیامک، کدهای یکبارمصرف (TOTP) یا اعلان‌های Push به‌تنهایی برای مقابله با حملات مبتنی بر سرقت نشست کافی نیستند؛ زیرا مهاجم مستقیماً از نشست معتبر یا توکن‌های صادرشده سوءاستفاده می‌کند.

 

حملات AiTM؛ سرقت نشست به جای سرقت رمز عبور

Forg365  همچنین از حملات Adversary-in-the-Middle (AiTM)  پشتیبانی می‌کند.

در این سناریو، مهاجم بین کاربر و سرویس احراز هویت قرار می‌گیرد و موفق می‌شود:

  • کوکی‌های نشست (Session Cookies)
  • توکن‌های احراز هویت
  • اطلاعات نشست فعال

را سرقت کند.

برخلاف کیت‌های شناخته‌شده‌ای مانند Evilginx که عمدتاً بر حملات AiTM و سرقت Session Cookie  تمرکز دارند، Forg365  چندین تکنیک را در یک پلتفرم واحد ترکیب کرده است؛ از جمله  Device-Code Phishing، تولید محتوای فیشینگ با هوش مصنوعی، مدیریت توکن‌های سرقت‌شده و قابلیت‌های حفظ دسترسی. این یکپارچگی، Forg365  را به نمونه‌ای از نسل جدید PhaaS  تبدیل کرده است.

 

هوش مصنوعی در خدمت فیشینگ

Forg365  دارای ابزارهای داخلی مبتنی بر هوش مصنوعی برای تولید محتوای فیشینگ است.

این قابلیت‌ها می‌توانند به‌صورت خودکار پیام‌هایی مانند موارد زیر را تولید کنند:

  • فاکتورهای جعلی
  • ایمیل‌های بازنشانی رمز عبور
  • اسناد تجاری
  • پیام‌های سازمانی متقاعدکننده

استفاده از هوش مصنوعی باعث می‌شود حملات شخصی‌سازی‌شده با سرعت و مقیاس بسیار بیشتری اجرا شوند.

 

قابلیت‌های پیشرفته برای حفظ دسترسی

بر اساس گزارش پژوهشگران،Forg365  امکاناتی برای مدیریت حساب‌های تسخیرشده و حفظ دسترسی مهاجم ارائه می‌دهد.

از جمله این قابلیت‌ها می‌توان به موارد زیر اشاره کرد:

  • ذخیره و مدیریت توکن‌های سرقت‌شده
  • دسترسی به صندوق پستی قربانی
  • جست‌وجوی اطلاعات حساس
  • پایش کلمات کلیدی
  • حفظ نشست‌های فعال از طریق مکانیزم‌های مدیریت Session

این قابلیت‌ها نشان می‌دهند هدف مهاجمان صرفاً سرقت اعتبارنامه نیست، بلکه حفظ دسترسی طولانی‌مدت به محیط سازمانی است.

 

1
2
3
4
1
2
3
4

شاخص‌های شناسایی  (IOCs)

تیم‌های امنیتی باید رخدادهای زیر را با دقت بررسی کنند:

  • افزایش درخواست‌های Device Code Authentication
  • ثبت دستگاه‌های جدید و غیرمنتظره در Microsoft Entra ID
  • استفاده غیرعادی از Microsoft Graph API
  • ایجاد  Refresh Tokenهای غیرمنتظره
  • نشست‌های غیرتعاملی غیرعادی
  • ورود از موقعیت‌های جغرافیایی غیرمعمول
  • User-Agentهای ناشناس یا غیرمتعارف
  • دسترسی همزمان از چند موقعیت جغرافیایی

 

توصیه‌های دفاعی

برای کاهش ریسک این نوع حملات، کارشناسان امنیت توصیه می‌کنند:

  • غیرفعال کردن Device Code Authentication برای کاربرانی که به آن نیاز ندارند.
  • پیاده‌سازی سیاست‌های Conditional Access  مبتنی بر ریسک، موقعیت جغرافیایی، وضعیت دستگاه و سطح اعتماد.
  • استقرار معماریZero Trust  و اعتبارسنجی مداوم نشست‌ها (Continuous Session Validation).
  • محدود کردن طول عمر Session و  Refresh Tokenها.
  • پایش مداوم فعالیت‌هایMicrosoft Graph API.
  • نظارت بر ثبت دستگاه‌های جدید در Microsoft Entra ID.
  • استفاده از راهکارهای تشخیص و پاسخ هویتی(ITDR).
  • آموزش کاربران درباره سوءاستفاده از Device Code و حملات مهندسی اجتماعی.

 

جمع‌بندی

ظهور Forg365 نشان می‌دهد بازار Phishing-as-a-Service  وارد مرحله‌ای جدید شده است؛ مرحله‌ای که در آن هوش مصنوعی، مدل‌های اشتراکی و ابزارهای خودکار، اجرای حملات پیچیده را برای طیف گسترده‌تری از مهاجمان ممکن می‌کنند.

این تحول همچنین نشان می‌دهد امنیت مبتنی بر احراز هویت به‌تنهایی دیگر پاسخگوی تهدیدات مدرن نیست. معماری‌های Zero Trust، اعتبارسنجی مداوم نشست‌ها، سیاست‌های دقیق Conditional Access و نظارت رفتاری بر هویت کاربران، اکنون به ارکان اصلی دفاع در برابر حملات مبتنی بر سرقت Session و Token تبدیل شده‌اند.


منابع

 

Attribution

این گزارش با استناد به چندین منبع معتبر بین‌المللی تهیه و توسط تیم تحریریه ۲۴ نیوز به‌صورت اختصاصی تحلیل، راستی‌آزمایی و بازنویسی شده است.

 

 

اتاق تحلیل ۲۴ نیوز | دیدگاه تحلیلی بهراد یوسفی

Forg365 صرفاً یک ابزار فیشینگ جدید نیست؛ بلکه نماد بلوغ بازار Phishing-as-a-Service است. مهاجمانی که پیش‌تر برای اجرای حملات پیشرفته به دانش فنی، زیرساخت و ابزارهای اختصاصی نیاز داشتند، اکنون می‌توانند با پرداخت هزینه اشتراک، مجموعه‌ای از قابلیت‌های آماده را در اختیار بگیرند. این روند، هزینه ورود به جرایم سایبری را کاهش داده و دامنه تهدید را گسترش می‌دهد.

۱. پایان اتکای صرف به MFA سنتی

Forg365  بار دیگر ثابت می‌کند که MFA  به‌تنهایی کافی نیست. در حملاتی مانند  Device-Code Phishing و AiTM، مهاجم الزاماً رمز عبور یا کد یکبارمصرف را سرقت نمی‌کند؛ بلکه نشست معتبر یا توکن‌های احراز هویت را هدف قرار می‌دهد. به همین دلیل، سازمان‌ها باید کنترل‌های مبتنی بر ریسک، هویت، دستگاه و رفتار کاربر را نیز در معماری امنیتی خود لحاظ کنند.

۲. Session Hijacking  به اولویت اصلی مهاجمان تبدیل شده است

تمرکز حملات مدرن از سرقت اعتبارنامه به سرقت Session و Token تغییر کرده است. این تحول نشان می‌دهد مدیریت نشست، اعتبارسنجی مداوم و نظارت بر چرخه عمر توکن‌ها باید در اولویت برنامه‌های دفاعی قرار گیرد.

۳. Zero Trust  دیگر یک انتخاب نیست

اصل «هرگز اعتماد نکن، همیشه راستی‌آزمایی کن» امروز بیش از هر زمان دیگری اهمیت دارد. حتی پس از احراز هویت موفق، اعتماد به نشست کاربر نباید دائمی باشد.  Conditional Access، ارزیابی مستمر ریسک و Continuous Access Evaluation  می‌توانند احتمال سوءاستفاده از نشست‌های سرقت‌شده را کاهش دهند.

۴. هوش مصنوعی سرعت حملات را افزایش داده است

استفاده از هوش مصنوعی برای تولید ایمیل‌ها و صفحات فیشینگ، کیفیت و مقیاس حملات را به شکل محسوسی افزایش می‌دهد. در چنین شرایطی، آموزش کاربران همچنان ضروری است، اما به‌تنهایی کافی نیست و باید با فناوری‌هایی مانند  Secure Email Gateway، مرورگرهای ایزوله، Sandboxing  و سامانه‌های تشخیص تهدید تکمیل شود.

جمع‌بندی تحلیل

Forg365  نشان می‌دهد آینده حملات سایبری بر محور هویت دیجیتال، نشست‌های فعال و توکن‌های دسترسی شکل می‌گیرد. سازمان‌هایی که همچنان امنیت خود را صرفاً بر MFA سنتی یا آموزش کاربران بنا کرده‌اند، باید راهبردهای دفاعی خود را به سمت  Zero Trust، مدیریت هویت و اعتبارسنجی مداوم نشست‌ها بازطراحی کنند.

گزارش خطا
ارسال پیام
captcha
پیشنهاد سردبیر بیشتر
آخرین اخبار
پربازدید
خانه پربازدید پربحث