هکرها با حمله سایبری و جعل هویت مقامات دولتی از طریق WhatsApp و Signal، کاربران Microsoft 365 را فریب می‌دهند و اطلاعاتشان را می‌دزدند.

به گزارش تکراتو و به نقل از lifehacker، یک حمله سایبری جدید کاربران Microsoft 365 را از طریق پیام‌رسان‌های Signal و WhatsApp هدف قرار داده است. در این روش، هکرها با جعل هویت مقامات دولتی تلاش می‌کنند به حساب‌های کاربری دسترسی پیدا کنند.

بر اساس گزارش سایت Bleeping Computer، مهاجمان که گمان می‌رود روس‌هایی باشند که خود را به عنوان مقامات سیاسی یا دیپلمات‌های اروپایی معرفی می‌کنند، کارکنان سازمان‌هایی که در زمینه مسائل مربوط به اوکراین و حقوق بشر فعالیت دارند را هدف قرار داده‌اند.

هدف نهایی این حمله این است که قربانیان روی یک لینک فیشینگ OAuth کلیک کنند و از این طریق اطلاعات ورود به حساب Microsoft 365 خود را در اختیار مهاجمان قرار دهند.

این کلاهبرداری که اولین بار توسط شرکت امنیت سایبری Volexity کشف شد، بیشتر روی سازمان‌های مرتبط با اوکراین تمرکز داشته است، اما روش مشابهی می‌تواند برای سرقت داده‌های کاربران یا کنترل دستگاه‌های آن‌ها در سطح گسترده‌تر هم استفاده شود.

در این حمله، معمولا قربانیان پیامی از طریق Signal یا WhatsApp دریافت می‌کنند که فرستنده خود را به عنوان یک مقام سیاسی یا دیپلمات معرفی کرده و از آن‌ها دعوت می‌کند در یک تماس ویدیویی یا کنفرانسی درباره مسائل مرتبط با اوکراین شرکت کنند.

به گفته Volexity، مهاجمان ممکن است ادعا کنند از سوی ماموریت اوکراین در اتحادیه اروپا، هیئت دائم جمهوری بلغارستان در ناتو یا نمایندگی دائم رومانی در اتحادیه اروپا ارتباط برقرار کرده‌اند.

در برخی موارد، حمله با ارسال ایمیلی از یک حساب هک شده دولتی اوکراین شروع می‌شود و پس از آن ارتباط از طریق Signal و WhatsApp ادامه پیدا می‌کند.

پس از برقراری ارتباط، مهاجمان یک فایل PDF شامل دستورالعمل‌هایی به همراه یک لینک فیشینگ OAuth برای قربانیان ارسال می‌کنند. وقتی کاربر روی لینک کلیک می‌کند، وارد صفحه‌ای می‌شود که از او می‌خواهد در Microsoft یا برنامه‌های شخص ثالثی که از OAuth Microsoft 365 استفاده می‌کنند، وارد شود.

پس از آن کاربر به صفحه‌ای منتقل می‌شود که یک کد تأیید دریافت می‌کند و از او خواسته می‌شود این کد را برای ورود به جلسه به اشتراک بگذارد. این کد که تا ۶۰ روز معتبر است، امکان دسترسی مهاجمان به ایمیل و سایر منابع Microsoft 365 را حتی پس از تغییر رمز عبور قربانیان فراهم می‌کند.

این حمله یکی از چندین تهدید اخیر است که از سیستم احراز هویت OAuth سوءاستفاده می‌کند و به همین دلیل ممکن است از لحاظ فنی تشخیص آن دشوار باشد. Volexity پیشنهاد می‌کند که کاربران تنظیمات دسترسی مشروط به دستگاه‌های تایید شده را برای حساب‌های Microsoft 365 فعال کنند و هشدارهای ورود را نیز روشن نمایند.

کاربران همچنین باید نسبت به تاکتیک‌های مهندسی اجتماعی که بر روانشناسی انسانی برای موفقیت در حملات فیشینگ و دیگر حملات سایبری تکیه دارند، هوشیار باشند.

نمونه‌هایی از این روش‌ها شامل پیام‌های غیرمعمول یا غیرمنتظره از افراد مورد اعتماد، پیام‌هایی که باعث واکنش‌های احساسی مانند ترس یا کنجکاوی می‌شود و درخواست‌های فوری یا پیشنهادهای بیش از حد خوب به نظر می‌رسد است.

یک راهنمای مهندسی اجتماعی منتشر شده توسط CSO توصیه می‌کند کاربران با رویکرد ذهنی بی‌اعتماد پیش بروند و به علائم هشداردهنده‌ای مانند اشتباهات نگارشی و دستوری و درخواست برای کلیک روی لینک یا باز کردن فایل‌های پیوست توجه کنند.

تصاویر منتشر شده توسط Volexity از پیام‌های Signal و WhatsApp نشان می‌دهد که اشتباهات کوچک در متن این پیام‌ها می‌تواند نشانه جعلی بودن آن‌ها باشد.