حمله ویشینگ به Microsoft 365 با سوءاستفاده از Passkey
اوکتا از کمپین ویشینگ جدید علیه کاربران مایکروسافت ۳۶۵ هشدار داد؛ مهاجمان با تماس تلفنی، کاربران را فریب میدهند تا Passkey مهاجم را روی حساب خود ثبت کنند.
Okta Threat Intelligence از شناسایی کمپین جدید ویشینگ مایکروسافت ۳۶۵ خبر داد؛ حملاتی که کاربران را با تماس تلفنی فریب میدهند تا Passkey متعلق به مهاجم را روی حساب خود ثبت کنند. این کشف نشان میدهد حتی امنترین فناوریهای احراز هویت نیز در برابر مهندسی اجتماعی آسیبپذیرند.
Passkey چیست؟
Passkey یک روش نوین احراز هویت مبتنی بر استاندارد FIDO2 و WebAuthn است که بهجای رمز عبور از کلیدهای رمزنگاری ذخیرهشده روی دستگاه استفاده میکند. این فناوری در برابر بسیاری از حملات فیشینگ مقاومتر از رمز عبور است، اما همچنان ممکن است کاربران از طریق مهندسی اجتماعی فریب بخورند.
نحوه حمله
مهاجمان در این کمپین ویشینگ(Voice Phishing) را با مهندسی اجتماعی ترکیب میکنند:
• تماس تلفنی جعلی: مهاجم با شمارهای مشابه پشتیبانی مایکروسافت تماس میگیرد
• فریب کاربر: کاربر را متقاعد میکند که باید Passkey جدید ثبت کند
• ثبت Passkey مهاجم: کاربر بدون آگاهی، Passkey متعلق به مهاجم را روی حساب خود ثبت میکند
• دسترسی دائمی: مهاجم از آن پس میتواند بدون رمز عبور وارد حساب شود
• فریب کاربر: کاربر را متقاعد میکند که باید Passkey جدید ثبت کند
• ثبت Passkey مهاجم: کاربر بدون آگاهی، Passkey متعلق به مهاجم را روی حساب خود ثبت میکند
• دسترسی دائمی: مهاجم از آن پس میتواند بدون رمز عبور وارد حساب شود
این حمله علیه Passkey نیست، علیه کاربر است
نکته بسیار مهم این است که:
• Passkey هک نشده است
• رمزنگاری FIDO2دور نمیزند
• WebAuthn هک نشده است
بلکه مهاجم با مهندسی اجتماعی، کاربر را مجبور میکند خودش Passkey مهاجم را ثبت کند. این تفاوت بنیادین است.
مقایسه با Device-Code Phishing
اگر Device-Code Phishing از جریان قانونی OAuth سوءاستفاده میکرد، این حمله نیز از فرآیند کاملاً قانونی ثبت Passkey سوءاستفاده میکند. در هر دو مورد، مهاجم مکانیزم امنیتی را نمیشکند؛ بلکه قربانی را متقاعد میکند تا خودش مجوز دسترسی را صادر کند.
چرا Voice Phishing خطرناکتر است؟
اکثر مردم تصور میکنند فیشینگ فقط ایمیل است. اما این خبر نشان میدهد:
Voice + Social Engineering + Real Microsoft Login•
• ترکیب بسیار خطرناکتری است
• کاربران به تماس تلفنی بیشتر از ایمیل اعتماد میکنند
• تشخیص جعلی بودن تماس سختتر از ایمیل است
توصیههای دفاعی
توصیههای دفاعی
• آموزش کاربران درباره فرآیند واقعی ثبت Passkey
• ممنوعیت ثبت Passkey از طریق تماس تلفنی
• مانیتورینگ Passkey Enrollment در Microsoft Entra ID
• بررسی مداوم رویدادهای Microsoft Entra ID
• استفاده از Conditional Access با محدودسازی دستگاه
•فعالسازی Identity Protection برای تشخیص رفتار مشکوک
•نظارت بر ثبت Authentication Methods
• تأیید مستقل هرگونه درخواست ثبت Passkey نتیجهگیری
ویشینگ مایکروسافت ۳۶۵ نشان میدهد کهPasskey به تنهایی پایان فیشینگ نیست. مهاجمان از مکانیزمهای قانونی سوءاستفاده میکنند و کاربران را فریب میدهند تا خودشان دسترسی را اعطا کنند. سازمانها باید فراتر از فناوری فکر کنند و آگاهی کاربران، نظارت بر تغییرات حساب و سیاستهای Zero Trust را تقویت کنند.
منابع
این گزارش با استناد به چندین منبع معتبر بینالمللی تهیه و توسط تیم تحریریه ۲۴ نیوز بهصورت اختصاصی تحلیل، راستیآزمایی و بازنویسی شده است.
اتاق تحلیل ۲۴ نیوز | دیدگاه تحلیلی بهراد یوسفی
Passkey هک نشده؛ اعتماد کاربر هک شده است.
این جمله بهترین جمعبندی این خبر است. بسیاری تصور میکنند Passkey پایان فیشینگ است؛ اما این حمله نشان میدهد حتی امنترین فناوریهای احراز هویت نیز در برابر مهندسی اجتماعی مصون نیستند.
نکته اول: مرز بین فناوری و آگاهی
مهاجم نه الگوریتم WebAuthn را میشکند و نه کلیدهای رمزنگاری را سرقت میکند. بلکه قربانی را متقاعد میکند یک Passkey تحت کنترل مهاجم را به حساب خود اضافه کند. این تحول بار دیگر نشان میدهد که امنیت هویت تنها به فناوری وابسته نیست و آگاهی کاربران، نظارت بر تغییرات حساب و سیاستهای Zero Trust همچنان نقش تعیینکنندهای دارند.
نکته دوم: تکامل فیشینگ از ایمیل به صدا
اگر فیشینگ نسل اول ایمیل بود، نسل دوم Device-Code Phishing بود، و نسل سوم Vishing + Passkey Enrollment است. مهاجمان هر بار یک لایه عمیقتر از اعتماد کاربر را هدف میگیرند. وقتی کاربر به تماس تلفنی "پشتیبانی مایکروسافت" اعتماد میکند، دیگر هیچ فایروال و هیچ MFAای نمیتواند او را نجات دهد.
نکته سوم : Zero Trust برای فرآیندها
Zero Trust فقط به معنای "به هیچ دستگاهی اعتماد نکن" نیست. باید به معنای "به هیچ فرآیندی که کاربر از طریق تماس تلفنی انجام میدهد، اعتماد نکن" هم باشد. سازمانها بایدConditional Access را طوری پیکربندی کنند که ثبت Passkey جدید نیازمند تأیید چندمرحلهای از کانالهای مستقل باشد.
نکته چهارم : Identity as the New Perimeter
اگر قبلاً شبکه مرز امنیتی بود، حالا هویت مرز امنیتی است. وقتی مهاجم میتواند با یک تماس تلفنی، هویت کاربر را تصاحب کند، دیگر مرز فیزیکی معنایی ندارد. Identity Protection و Continuous Authentication باید اولویت اول هر CISO باشد.
نتیجهگیری:
این حمله نشان میدهد که آینده امنیت هویت، آیندهای است که در آن فناوری و آگاهی باید دست در دست هم بدهند. Passkey قویترین قفل جهان است، اما اگر کاربر کلید را به هر کسی که تماس میگیرد بدهد، هیچ قفلی کارایی ندارد. آینده امنیت، آیندهای است که در آن هیچ ثبت هویتی بدون تأیید مستقل انجام نمیشود.
گزارش خطا
پسندها:
ارسال پیام