کد خبر: ۴۳۶

حمله وی‌شینگ به Microsoft 365 با سوءاستفاده از Passkey

گزارش بهراد یوسفی درباره  ویشینگ مایکروسافت ۳۶۵

اوکتا از کمپین ویشینگ جدید علیه کاربران مایکروسافت ۳۶۵ هشدار داد؛ مهاجمان با تماس تلفنی، کاربران را فریب می‌دهند تا Passkey مهاجم را روی حساب خود ثبت کنند.

Okta Threat Intelligence  از شناسایی کمپین جدید ویشینگ مایکروسافت ۳۶۵ خبر داد؛ حملاتی که کاربران را با تماس تلفنی فریب می‌دهند تا Passkey متعلق به مهاجم را روی حساب خود ثبت کنند. این کشف نشان می‌دهد حتی امن‌ترین فناوری‌های احراز هویت نیز در برابر مهندسی اجتماعی آسیب‌پذیرند.

Passkey  چیست؟
Passkey  یک روش نوین احراز هویت مبتنی بر استاندارد  FIDO2 و WebAuthn است که به‌جای رمز عبور از کلیدهای رمزنگاری ذخیره‌شده روی دستگاه استفاده می‌کند. این فناوری در برابر بسیاری از حملات فیشینگ مقاوم‌تر از رمز عبور است، اما همچنان ممکن است کاربران از طریق مهندسی اجتماعی فریب بخورند.

نحوه حمله
مهاجمان در این کمپین ویشینگ(Voice Phishing)  را با مهندسی اجتماعی ترکیب می‌کنند:
تماس تلفنی جعلی: مهاجم با شماره‌ای مشابه پشتیبانی مایکروسافت تماس می‌گیرد
 
فریب کاربر: کاربر را متقاعد می‌کند که باید Passkey جدید ثبت کند
 
ثبت Passkey مهاجم: کاربر بدون آگاهی، Passkey  متعلق به مهاجم را روی حساب خود ثبت می‌کند
 
دسترسی دائمی: مهاجم از آن پس می‌تواند بدون رمز عبور وارد حساب شود

این حمله علیه Passkey نیست، علیه کاربر است
نکته بسیار مهم این است که:
Passkey هک نشده است
 رمزنگاری  FIDO2دور نمی‌زند
WebAuthn هک نشده است
بلکه مهاجم با مهندسی اجتماعی، کاربر را مجبور می‌کند خودش Passkey مهاجم را ثبت کند. این تفاوت بنیادین است.

مقایسه با  Device-Code Phishing
اگر Device-Code Phishing  از جریان قانونی OAuth سوءاستفاده می‌کرد، این حمله نیز از فرآیند کاملاً قانونی ثبت Passkey سوءاستفاده می‌کند. در هر دو مورد، مهاجم مکانیزم امنیتی را نمی‌شکند؛ بلکه قربانی را متقاعد می‌کند تا خودش مجوز دسترسی را صادر کند.

چرا Voice Phishing خطرناک‌تر است؟
اکثر مردم تصور می‌کنند فیشینگ فقط ایمیل است. اما این خبر نشان می‌دهد:
Voice + Social Engineering + Real Microsoft Login•
ترکیب بسیار خطرناک‌تری است
کاربران به تماس تلفنی بیشتر از ایمیل اعتماد می‌کنند
تشخیص جعلی بودن تماس سخت‌تر از ایمیل است

توصیه‌های دفاعی
آموزش کاربران درباره فرآیند واقعی ثبت  Passkey
ممنوعیت ثبت Passkey از طریق تماس تلفنی
مانیتورینگ Passkey Enrollment در Microsoft Entra ID
بررسی مداوم رویدادهای  Microsoft Entra ID
استفاده از Conditional Access  با محدودسازی دستگاه
فعال‌سازی Identity Protection  برای تشخیص رفتار مشکوک
نظارت بر ثبت  Authentication Methods
تأیید مستقل هرگونه درخواست ثبت Passkey نتیجه‌گیری
ویشینگ مایکروسافت ۳۶۵ نشان می‌دهد کهPasskey  به تنهایی پایان فیشینگ نیست. مهاجمان از مکانیزم‌های قانونی سوءاستفاده می‌کنند و کاربران را فریب می‌دهند تا خودشان دسترسی را اعطا کنند. سازمان‌ها باید فراتر از فناوری فکر کنند و آگاهی کاربران، نظارت بر تغییرات حساب و سیاست‌های Zero Trust  را تقویت کنند.
 
منابع
این گزارش با استناد به چندین منبع معتبر بین‌المللی تهیه و توسط تیم تحریریه ۲۴ نیوز به‌صورت اختصاصی تحلیل، راستی‌آزمایی و بازنویسی شده است.
 
اتاق تحلیل ۲۴ نیوز | دیدگاه تحلیلی بهراد یوسفی
Passkey  هک نشده؛ اعتماد کاربر هک شده است.
این جمله بهترین جمع‌بندی این خبر است. بسیاری تصور می‌کنند  Passkey پایان فیشینگ است؛ اما این حمله نشان می‌دهد حتی امن‌ترین فناوری‌های احراز هویت نیز در برابر مهندسی اجتماعی مصون نیستند.
نکته اول: مرز بین فناوری و آگاهی
مهاجم نه الگوریتم WebAuthn را می‌شکند و نه کلیدهای رمزنگاری را سرقت می‌کند. بلکه قربانی را متقاعد می‌کند یک Passkey تحت کنترل مهاجم را به حساب خود اضافه کند. این تحول بار دیگر نشان می‌دهد که امنیت هویت تنها به فناوری وابسته نیست و آگاهی کاربران، نظارت بر تغییرات حساب و سیاست‌های Zero Trust  همچنان نقش تعیین‌کننده‌ای دارند.
نکته دوم: تکامل فیشینگ از ایمیل به صدا
اگر فیشینگ نسل اول ایمیل بود، نسل دوم Device-Code Phishing بود، و نسل سوم Vishing + Passkey Enrollment  است. مهاجمان هر بار یک لایه عمیق‌تر از اعتماد کاربر را هدف می‌گیرند. وقتی کاربر به تماس تلفنی "پشتیبانی مایکروسافت" اعتماد می‌کند، دیگر هیچ فایروال و هیچ  MFAای نمی‌تواند او را نجات دهد.
نکته سوم : Zero Trust  برای فرآیندها
Zero Trust  فقط به معنای "به هیچ دستگاهی اعتماد نکن" نیست. باید به معنای "به هیچ فرآیندی که کاربر از طریق تماس تلفنی انجام می‌دهد، اعتماد نکن"  هم باشد. سازمان‌ها بایدConditional Access  را طوری پیکربندی کنند که ثبت Passkey جدید نیازمند تأیید چندمرحله‌ای از کانال‌های مستقل باشد.
نکته چهارم : Identity as the New Perimeter
اگر قبلاً شبکه مرز امنیتی بود، حالا هویت مرز امنیتی است. وقتی مهاجم می‌تواند با یک تماس تلفنی، هویت کاربر را تصاحب کند، دیگر مرز فیزیکی معنایی ندارد. Identity Protection و Continuous Authentication  باید اولویت اول هر CISO باشد.
نتیجه‌گیری:
این حمله نشان می‌دهد که آینده امنیت هویت، آینده‌ای است که در آن فناوری و آگاهی باید دست در دست هم بدهند. Passkey قوی‌ترین قفل جهان است، اما اگر کاربر کلید را به هر کسی که تماس می‌گیرد بدهد، هیچ قفلی کارایی ندارد. آینده امنیت، آینده‌ای است که در آن هیچ ثبت هویتی بدون تأیید مستقل انجام نمی‌شود.
گزارش خطا
ارسال پیام
captcha
پیشنهاد سردبیر بیشتر
آخرین اخبار
پربازدید
خانه پربازدید پربحث