شرکت ماندیانت (Mandiant)، زیرمجموعه گوگل، از شناسایی موج جدیدی از حملات سایبری خبر داده که با استفاده از تکنیک‌های پیشرفته مهندسی اجتماعی، سازمان‌ها را هدف قرار داده است. این حملات که به گروه‌هایی نظیر ShinyHunters (تحت شناسه‌هایی مثل UNC6661 و UNC6240) نسبت داده می‌شود، بر سرقت اعتبارنامه‌های ورود و دور زدن احراز هویت چندمرحله‌ای (MFA) تمرکز دارد.

مکانیسم حمله و ترفندهای مهندسی اجتماعی

مهاجمان در این کمپین از روش ویشینگ (Voice Phishing) یا فیشینگ صوتی استفاده می‌کنند:

• جعل هویت: مهاجمان در تماس تلفنی با کارکنان، خود را به عنوان پرسنل واحد فناوری اطلاعات (IT Helpdesk) معرفی می‌کنند.

• فریب برای MFA: آن‌ها قربانی را متقاعد می‌کنند که برای رفع یک مشکل فنی یا به‌روزرسانی تنظیمات امنیتی، باید روی لینکی که برایشان پیامک یا ایمیل می‌شود کلیک کنند.

• صفحات جعلی مشابه اصل: این لینک‌ها کاربر را به وب‌سایت‌های فیشینگ هدایت می‌کنند که از نظر ظاهری دقیقاً مشابه صفحات ورود رسمی سازمان (مانند Okta) هستند.

• سرقت کد و ثبت دستگاه: به محض وارد کردن اطلاعات و کد MFA توسط کاربر، مهاجمان آن را سرقت کرده و بلافاصله دستگاه خود را به عنوان یک روش احراز هویت جدید ثبت می‌کنند تا دسترسی دائمی داشته باشند.

اهداف و پیامدهای نفوذ

پس از نفوذ به حساب‌های کاربری، مهاجمان فعالیت‌های زیر را انجام می‌دهند:

• نفوذ به سرویس‌های ابری: دسترسی به پلتفرم‌های SaaS مانند Microsoft 365، SharePoint و OneDrive برای استخراج داده‌های حساس.

• گسترش حمله: استفاده از ایمیل‌های سازمانی هک شده برای ارسال پیام‌های فیشینگ جدید به شرکای تجاری و شرکت‌های دیگر (به‌ویژه در حوزه رمزارز).

• اخاذی و تهدید: هدف نهایی این نفوذها اغلب اخاذی مالی است. در برخی موارد، گزارش‌هایی از آزار و تهدید مستقیم کارکنان توسط مهاجمان نیز ثبت شده است.

• پاک‌سازی ردپا: حذف ایمیل‌های ارسالی مخرب برای جلوگیری از شناسایی توسط تیم‌های امنیت شبکه.

توصیه‌های امنیتی گوگل و ماندیانت

کارشناسان تأکید می‌کنند که این حملات ناشی از نقص فنی در نرم‌افزارها نیست، بلکه از ضعف در «عنصر انسانی» سوءاستفاده می‌کند. راهکارهای پیشنهادی عبارتند از:

1. استفاده از MFA مقاوم در برابر فیشینگ: جایگزینی روش‌های مبتنی بر پیامک و تماس تلفنی با کلیدهای امنیتی فیزیکی (FIDO2) یا Passkey.

2. آموزش مستمر کارکنان: آگاه‌سازی پرسنل درباره شیوه‌های جدید فیشینگ صوتی و تأکید بر اینکه واحد IT هرگز رمز عبور یا کد MFA را به صورت تلفنی درخواست نمی‌کند.

3. بازبینی فرآیندهای پشتیبانی: تعریف پروتکل‌های دقیق برای احراز هویت کارکنان در تماس‌های تلفنی با واحد پشتیبانی فنی.