forg365: فیشینگ بهعنوان سرویس با AI مایکروسافت ۳۶۵ را دور زد
پلتفرم Forg365 با هوش مصنوعی، فیشینگ مایکروسافت 365 را بهعنوان سرویس ارائه میدهد؛ از Device-Code Phishing تا AiTM و رفرش خودکار کوکی.
پژوهشگران امنیت سایبری از شناسایی Forg365 خبر دادهاند؛ یک پلتفرم Phishing-as-a-Service (PhaaS) که از طریق تلگرام عرضه میشود و به مهاجمان امکان میدهد بدون نیاز به ایجاد زیرساختهای پیچیده، حملات پیشرفته علیه حسابهایMicrosoft 365 را اجرا کنند.
بر اساس یافتههای منتشرشده، Forg365 با ترکیب Device-Code Phishing، حملات Adversary-in-the-Middle (AiTM) ، قابلیتهای مبتنی بر هوش مصنوعی و ابزارهای مدیریت نشستهای سرقتشده، سطح جدیدی از پیچیدگی را وارد اکوسیستم حملات فیشینگ کرده است.
مدل کسبوکار اشتراکی برای مجرمان سایبری
Forg365 از مدل اشتراکی مشابه سرویسهای نرمافزاری قانونی استفاده میکند و امکانات خود را در قالب پلنهای مختلف ارائه میدهد، از جمله:
- دوره آزمایشی ۳۰ روزه
- اشتراک ماهانه
- اشتراک سالانه با تخفیف
این مدل نشان میدهد بازار Phishing-as-a-Service بیش از گذشته حرفهای شده و مهاجمان، خدمات خود را همراه با پشتیبانی، بهروزرسانی و توسعه مداوم عرضه میکنند.
Device-Code Phishing؛ حملهای که MFA سنتی را دور میزند
یکی از مهمترین قابلیتهای Forg365 استفاده ازDevice-Code Phishing است.
در این روش، قربانی به صفحه رسمی ورود مایکروسافت هدایت میشود و تصور میکند در حال انجام یک فرآیند احراز هویت معتبر است. اما با وارد کردن Device Code، در واقع مجوز دسترسی به حساب خود را برای مهاجم صادر میکند.
این تکنیک نشان میدهد احراز هویت چندمرحلهای (MFA) مبتنی بر پیامک، کدهای یکبارمصرف (TOTP) یا اعلانهای Push بهتنهایی برای مقابله با حملات مبتنی بر سرقت نشست کافی نیستند؛ زیرا مهاجم مستقیماً از نشست معتبر یا توکنهای صادرشده سوءاستفاده میکند.
حملات AiTM؛ سرقت نشست به جای سرقت رمز عبور
Forg365 همچنین از حملات Adversary-in-the-Middle (AiTM) پشتیبانی میکند.
در این سناریو، مهاجم بین کاربر و سرویس احراز هویت قرار میگیرد و موفق میشود:
- کوکیهای نشست (Session Cookies)
- توکنهای احراز هویت
- اطلاعات نشست فعال
را سرقت کند.
برخلاف کیتهای شناختهشدهای مانند Evilginx که عمدتاً بر حملات AiTM و سرقت Session Cookie تمرکز دارند، Forg365 چندین تکنیک را در یک پلتفرم واحد ترکیب کرده است؛ از جمله Device-Code Phishing، تولید محتوای فیشینگ با هوش مصنوعی، مدیریت توکنهای سرقتشده و قابلیتهای حفظ دسترسی. این یکپارچگی، Forg365 را به نمونهای از نسل جدید PhaaS تبدیل کرده است.
هوش مصنوعی در خدمت فیشینگ
Forg365 دارای ابزارهای داخلی مبتنی بر هوش مصنوعی برای تولید محتوای فیشینگ است.
این قابلیتها میتوانند بهصورت خودکار پیامهایی مانند موارد زیر را تولید کنند:
- فاکتورهای جعلی
- ایمیلهای بازنشانی رمز عبور
- اسناد تجاری
- پیامهای سازمانی متقاعدکننده
استفاده از هوش مصنوعی باعث میشود حملات شخصیسازیشده با سرعت و مقیاس بسیار بیشتری اجرا شوند.
قابلیتهای پیشرفته برای حفظ دسترسی
بر اساس گزارش پژوهشگران،Forg365 امکاناتی برای مدیریت حسابهای تسخیرشده و حفظ دسترسی مهاجم ارائه میدهد.
از جمله این قابلیتها میتوان به موارد زیر اشاره کرد:
- ذخیره و مدیریت توکنهای سرقتشده
- دسترسی به صندوق پستی قربانی
- جستوجوی اطلاعات حساس
- پایش کلمات کلیدی
- حفظ نشستهای فعال از طریق مکانیزمهای مدیریت Session
این قابلیتها نشان میدهند هدف مهاجمان صرفاً سرقت اعتبارنامه نیست، بلکه حفظ دسترسی طولانیمدت به محیط سازمانی است.
شاخصهای شناسایی (IOCs)
تیمهای امنیتی باید رخدادهای زیر را با دقت بررسی کنند:
- افزایش درخواستهای Device Code Authentication
- ثبت دستگاههای جدید و غیرمنتظره در Microsoft Entra ID
- استفاده غیرعادی از Microsoft Graph API
- ایجاد Refresh Tokenهای غیرمنتظره
- نشستهای غیرتعاملی غیرعادی
- ورود از موقعیتهای جغرافیایی غیرمعمول
- User-Agentهای ناشناس یا غیرمتعارف
- دسترسی همزمان از چند موقعیت جغرافیایی
توصیههای دفاعی
برای کاهش ریسک این نوع حملات، کارشناسان امنیت توصیه میکنند:
- غیرفعال کردن Device Code Authentication برای کاربرانی که به آن نیاز ندارند.
- پیادهسازی سیاستهای Conditional Access مبتنی بر ریسک، موقعیت جغرافیایی، وضعیت دستگاه و سطح اعتماد.
- استقرار معماریZero Trust و اعتبارسنجی مداوم نشستها (Continuous Session Validation).
- محدود کردن طول عمر Session و Refresh Tokenها.
- پایش مداوم فعالیتهایMicrosoft Graph API.
- نظارت بر ثبت دستگاههای جدید در Microsoft Entra ID.
- استفاده از راهکارهای تشخیص و پاسخ هویتی(ITDR).
- آموزش کاربران درباره سوءاستفاده از Device Code و حملات مهندسی اجتماعی.
جمعبندی
ظهور Forg365 نشان میدهد بازار Phishing-as-a-Service وارد مرحلهای جدید شده است؛ مرحلهای که در آن هوش مصنوعی، مدلهای اشتراکی و ابزارهای خودکار، اجرای حملات پیچیده را برای طیف گستردهتری از مهاجمان ممکن میکنند.
این تحول همچنین نشان میدهد امنیت مبتنی بر احراز هویت بهتنهایی دیگر پاسخگوی تهدیدات مدرن نیست. معماریهای Zero Trust، اعتبارسنجی مداوم نشستها، سیاستهای دقیق Conditional Access و نظارت رفتاری بر هویت کاربران، اکنون به ارکان اصلی دفاع در برابر حملات مبتنی بر سرقت Session و Token تبدیل شدهاند.
منابع
Attribution
این گزارش با استناد به چندین منبع معتبر بینالمللی تهیه و توسط تیم تحریریه ۲۴ نیوز بهصورت اختصاصی تحلیل، راستیآزمایی و بازنویسی شده است.
اتاق تحلیل ۲۴ نیوز | دیدگاه تحلیلی بهراد یوسفی
Forg365 صرفاً یک ابزار فیشینگ جدید نیست؛ بلکه نماد بلوغ بازار Phishing-as-a-Service است. مهاجمانی که پیشتر برای اجرای حملات پیشرفته به دانش فنی، زیرساخت و ابزارهای اختصاصی نیاز داشتند، اکنون میتوانند با پرداخت هزینه اشتراک، مجموعهای از قابلیتهای آماده را در اختیار بگیرند. این روند، هزینه ورود به جرایم سایبری را کاهش داده و دامنه تهدید را گسترش میدهد.
۱. پایان اتکای صرف به MFA سنتی
Forg365 بار دیگر ثابت میکند که MFA بهتنهایی کافی نیست. در حملاتی مانند Device-Code Phishing و AiTM، مهاجم الزاماً رمز عبور یا کد یکبارمصرف را سرقت نمیکند؛ بلکه نشست معتبر یا توکنهای احراز هویت را هدف قرار میدهد. به همین دلیل، سازمانها باید کنترلهای مبتنی بر ریسک، هویت، دستگاه و رفتار کاربر را نیز در معماری امنیتی خود لحاظ کنند.
۲. Session Hijacking به اولویت اصلی مهاجمان تبدیل شده است
تمرکز حملات مدرن از سرقت اعتبارنامه به سرقت Session و Token تغییر کرده است. این تحول نشان میدهد مدیریت نشست، اعتبارسنجی مداوم و نظارت بر چرخه عمر توکنها باید در اولویت برنامههای دفاعی قرار گیرد.
۳. Zero Trust دیگر یک انتخاب نیست
اصل «هرگز اعتماد نکن، همیشه راستیآزمایی کن» امروز بیش از هر زمان دیگری اهمیت دارد. حتی پس از احراز هویت موفق، اعتماد به نشست کاربر نباید دائمی باشد. Conditional Access، ارزیابی مستمر ریسک و Continuous Access Evaluation میتوانند احتمال سوءاستفاده از نشستهای سرقتشده را کاهش دهند.
۴. هوش مصنوعی سرعت حملات را افزایش داده است
استفاده از هوش مصنوعی برای تولید ایمیلها و صفحات فیشینگ، کیفیت و مقیاس حملات را به شکل محسوسی افزایش میدهد. در چنین شرایطی، آموزش کاربران همچنان ضروری است، اما بهتنهایی کافی نیست و باید با فناوریهایی مانند Secure Email Gateway، مرورگرهای ایزوله، Sandboxing و سامانههای تشخیص تهدید تکمیل شود.
جمعبندی تحلیل
Forg365 نشان میدهد آینده حملات سایبری بر محور هویت دیجیتال، نشستهای فعال و توکنهای دسترسی شکل میگیرد. سازمانهایی که همچنان امنیت خود را صرفاً بر MFA سنتی یا آموزش کاربران بنا کردهاند، باید راهبردهای دفاعی خود را به سمت Zero Trust، مدیریت هویت و اعتبارسنجی مداوم نشستها بازطراحی کنند.