فیشینگ باورنکردنی اطلاعات میلیون‌ها کاربر در 130 سرویس محبوب و قدرتمند

توضیحات: تیم شهر سخت‌افزار; دسته: اخبار امنیت; 06 شهریور 1401 16:00

طی چند ماه گذشته یک کمپین فیشینگ گسترده شکل گرفته که هدف آن دسترسی به اطلاعات کاربران در پلتفرم‌های بزرگ از جمله فروشگاه‌های عرضه بازی‌های رایانه‌ای، پیام‌رسان‌های محبوب و حتی امور مالی است. اگر چه این حملات توسط یک گروه تازه‌کار شکل گرفته است، اما حجم و گستردگی آن به اندازه‌ای است که محققان امنیت سایبری را نگران کرده است.

به تازگی یک کمپین فیشینگ بزرگ به راه افتاده که بیش از ۱۳۰ نهاد و شرکت بزرگ از جمله Twilio، DoorDash و Cloudflare را درگیر کرده است. این کمپین توسط محققان امنیت سایبری 0ktapus نام گرفته و چند ماه است که همچنان ادامه دارد.

گزارش منتشر شده توسط گروه امنیت سایبری Group-IB نشان می‌دهد که هکرها توانسته‌اند با تقلید از سرویس بسیار محبوب Okta اطلاعات حساب بیش از ۱۰ هزار نفر از کارمندان شرکت‌های بزرگ را بدست آورده و از آن‌ها سواستفاده کنند.

در مرحله بعد هکرها پس از به دست آوردن اطلاعات حساب کاربران از این اطلاعات برای حمله به سرویس‌های دیگری استفاده کرده‌اند.

در تاریخ ۱۵ آگوست (۲۴ مرداد ۱۴۰۱) پیام‌رسان Signal هشدار داد که مهاجمان توانسته‌اند پس از ورود به Twilio بیش از ۱۹۰۰ حساب Signal را هک کرده و به آن‌ها دسترسی کامل داشته باشند. این در حالی است که برای برخی حساب‌های پیام‌رسان Signal دستگاه‌های جدید تعریف شده بود تا هکرها بتوانند از طریق حساب کاربری دیگران اقدام به ارسال و دریافت پیام کنند.

مقامات Twilio نیز طی چند روز گذشته به این حمله گسترده واکنش نشان داده و اعلام کردند که هکرها توانسته‌اند به اطلاعات ۱۶۳ مشتری دسترسی پیدا کنند. همچنین توضیح داده شد که ۹۳ کاربر پلتفرم احراز هویت ابری Authy نیز پس از ثبت دستگاه‌های جدید توسط هکرها کنترل حساب خود را از دست داده‌اند.

روش هکرها برای دسترسی به اطلاعات کاربران

در بخش‌هایی از گزارش گروه امنیت سایبری Group-IB توضیح داده شده که مهاجمان در مرحله اول برای تعداد زیادی از کاربران یک پیامک ارسال می‌کنند که در آن لینک یک سایت فیشینگ قرار دارد. این سایت جعلی از دید قربانی کاملاً قانع‌کننده به نظر می‌رسد زیرا بسیار شبیه به صفحه احراز هویت پلتفرم‌های قانونی است.

در این صفحه از کاربر خواسته می‌شود تا اطلاعات ورود به حساب از جمله نام کاربری، کلمه عبور و کد احراز هویت دو مرحله‌ای ارسال شده را وارد کنند. این اطلاعات در مرحله بعد مستقیماً برای هکرها ارسال می‌شود و آن‌ها می‌توانند به راحتی به حساب قربانیان در پلتفرم‌های مختلف وارد شوند.

مهاجمان بی‌تجربه اما بسیار موفق

تجزیه و تحلیل صورت گرفته در رابطه با این حملات گسترده نشان می‌دهد که هکرها تا حدود بی‌تجربه و تازه‌کار هستند. به گفته تحلیلگر ارشد اطلاعات Group-IB پس از بررسی کیت فیشینگ مورد استفاده توسط مهاجمان مشخص شد که از پیکربندی بسیار ضعیفی برخوردار است و به گونه‌ای ساخته شده که می‌توان برای تجزیه و تحلیل بیشتر روش کار و همچنین پیگیری اطلاعات، اعتبارنامه‌های آن را استخراج کرد.

با صرف نظر از میزان تجربه هکرها، این حملات در مقیاس بسیار بزرگ صورت گرفته و ۱۶۹ دامنه پرمخاطب منحصر به فرد اکنون به هدف اصلی آن‌ها تبدیل شده است.

به نظر می‌رسد که کمپین فیشینگ 0ktapus از ماه مارس ۲۰۲۲ (اسفند ۱۴۰۰) آغاز شده و تا به امروز ۹۹۳۱ حساب کاربری به سرقت رفته است. مهاجمان در حال گسترش شبکه خود هستند و اکنون چندین صنعت از جمله امور مالی، بازی‌های رایانه‌ای و شرکت‌های مخابراتی را هدف قرار داده‌اند.

از جمله دامنه‌های معروف که توسط این کمپین هدف قرار گرفته می‌توان به سایت مایکروسافت، توییتر، AT&T، صرافی رمزارزی Coinbase، فروشگاه آنلاین Best Buy، Riot Games و پلتفرم Epic Games اشاره کرد.