آشنایی با خطرناک‌ترین تهدیدهای سایبری
حمله هکرها به توکن‌های احراز هویت
اختصاصی افتانا
کد مطلب: 20290
تاریخ انتشار : شنبه ۱ بهمن ۱۴۰۱ ساعت ۱۳:۰۸
 
دسترسی هکرها به توکن‌های احراز هویت می‌تواند به عنوان یکی از خطرناک‌ترین تهدیدهای سایبری محسوب شود.
حمله هکرها به توکن‌های احراز هویت
 
 
Share/Save/Bookmark
اختصاصی افتانا: دسترسی هکرها به توکن‌های احراز هویت می‌تواند به عنوان یکی از خطرناک‌ترین تهدیدهای سایبری محسوب شود.

به گزارش افتانا به نقل از اسپلانک، پاون استورم (Pawn Storm) - یک گروه جاسوسی فعال که از سال ۲۰۰۴ فعالیت می‌کند - از استراتژی های مختلفی برای به دست آوردن اطلاعات از اهداف خود استفاده می‌کند. یکی از این روش‌ها به‌ویژه سوء استفاده از احراز هویت باز (OAuth) در طرح‌های پیشرفته مهندسی اجتماعی، هدف قرار دادن کاربران با مشخصات بالا از ایمیل‌های اینترنتی رایگان بین سال‌های ۲۰۱۵ و ۲۰۱۶ بود.

این گروه همچنین حملات فیشینگ اعتباری تهاجمی علیه کنوانسیون ملی دموکرات‌ها (DNC)، اتحادیه دموکرات مسیحی آلمان (CDU)، پارلمان و دولت ترکیه، پارلمان مونته‌نگرو، آژانس جهانی ضد دوپینگ (WADA)، الجزیره و بسیاری از سازمان‌های دیگر را در کارنامه خود دارد.

آن‌ها همچنان از چندین برنامه مخرب که از نشانه‌های دسترسی OAuth برای دسترسی به حساب‌های ایمیل هدف از جمله جیمیل و یاهو میل سوء استفاده می‌کنند، بهره می‌برند.

چه چیزی باید بدانیم؟
یک هکر با یک توکن دسترسی OAuth می‌تواند از REST API اعطا شده توسط کاربر برای انجام عملکردهایی مانند جستجوی ایمیل و شمارش مخاطبان استفاده کند. با یک سرویس ایمیل مبتنی بر ابر، هنگامی که یک توکن دسترسی OAuth به یک برنامه مخرب اعطا شد، در صورت اعطای یک توکن «Refresh» که امکان دسترسی پس‌زمینه را فراهم می‌کند، به طور بالقوه می‌تواند به ویژگی‌های حساب کاربری دسترسی طولانی‌مدت داشته باشد.

این حمله چگونه اتفاق می‌افتد؟
مهاجمان ممکن است از نشانه‌های دسترسی برنامه برای دور زدن فرآیند احراز هویت معمولی و دسترسی به حساب‌ها، اطلاعات یا خدمات محدود در سیستم‌های راه دور استفاده کنند. این توکن‌ها معمولاً از کاربران به سرقت می‌روند و به‌جای اعتبار ورود استفاده می‌شوند.

توکن‌های دسترسی به خطر افتاده ممکن است به عنوان گام اولیه برای به خطر انداختن سایر خدمات استفاده شوند. به عنوان مثال، اگر یک توکن به ایمیل اصلی قربانی اجازه دسترسی بدهد، مهاجم ممکن است بتواند با راه‌اندازی روتین‌های رمز عبور فراموش‌شده، دسترسی به سایر سرویس‌هایی را که هدف در آن‌ها مشترک است، گسترش دهد.

دسترسی مستقیم API از طریق یک توکن، اثربخشی یک عامل احراز هویت دوم را نفی می‌کند و ممکن است از اقدامات متقابلی مانند تغییر رمز عبور مصون باشد.

منبع: Splunk