svg
svg

در حال خواندن: عنکبوت پراکنده: درک کلاهبرداری‌های میز پشتیبانی و نحوه دفاع از سازمان شما

svg
در حال بارگذاری
    در حال بارگذاری
    حملات سایبری
    ۲۵ خرداد ۱۴۰۴ / پندآفند

    عنکبوت پراکنده: درک کلاهبرداری‌های میز پشتیبانی و نحوه دفاع از سازمان شما

    svg1
    <br>عنکبوت پراکنده: درک کلاهبرداری‌های میز پشتیبانی و نحوه دفاع از سازمان شما<br>
    حملات پراکنده عنکبوت: فراتر از کلاهبرداری‌های میز پشتیبانی

    در پی حملات پرسروصدا به خرده‌فروشان بریتانیایی مارکس اند اسپنسر و کوآپ، گروه پراکنده عنکبوت (Scattered Spider) در رسانه‌ها بسیار مورد توجه قرار گرفته است. شدت اختلالات ایجاد شده – که در حال حاضر صدها میلیون پوند ضرر برای مارکس اند اسپنسر به تنهایی تخمین زده می‌شود – باعث شده این موضوع به اخبار اصلی راه یابد. این پوشش رسانه‌ای برای جامعه امنیت سایبری بسیار ارزشمند است زیرا آگاهی از نبردهای روزانه تیم‌های امنیتی را افزایش می‌دهد. اما همچنین سروصدای زیادی ایجاد کرده که درک تصویر کلی را دشوار می‌سازد.

    داستان اصلی از کمپین اخیر علیه خرده‌فروشان بریتانیا، استفاده از کلاهبرداری‌های میز پشتیبانی است. این روش معمولاً شامل تماس مهاجم با میز پشتیبانی شرکت با اطلاعاتی است – حداقل اطلاعات شخصی که به آنها امکان جعل هویت قربانی را می‌دهد و گاهی رمز عبور – و با تکیه بر توانایی‌های انگلیسی زبان بودن خود، اپراتور میز پشتیبانی را فریب می‌دهند تا به آنها دسترسی به حساب کاربری بدهد.

    اصول کلاهبرداری میز پشتیبانی

    هدف کلاهبرداری میز پشتیبانی این است که اپراتور را وادار کنند اعتبارنامه‌ها و احراز هویت چندعاملی (MFA) مورد استفاده برای دسترسی به حساب را بازنشانی کند تا مهاجم بتواند کنترل آن را به دست گیرد. آنها از داستان‌های پس‌زمینه و تاکتیک‌های مختلفی استفاده می‌کنند، اما اغلب اوقات به سادگی می‌گویند: “من تلفن جدیدی دارم، می‌توانید MFA موجود من را حذف کنید و اجازه دهید یکی جدید ثبت کنم؟”

    از آنجا، لینک بازنشانی MFA از طریق ایمیل یا پیامک برای مهاجم ارسال می‌شود. معمولاً این به شماره‌ای که در پرونده است ارسال می‌شود – اما در این مرحله، مهاجم قبلاً اعتماد را برقرار کرده و تا حدی فرآیند میز پشتیبانی را دور زده است. بنابراین درخواست “می‌توانید آن را به این آدرس ایمیل بفرستید” یا “من در واقع شماره جدیدی هم دارم، می‌توانید به… بفرستید” باعث می‌شود مستقیماً برای مهاجم ارسال شود.

    در این مرحله، استفاده از قابلیت بازنشانی رمز عبور خودخدمت برای Okta یا Entra ساده است (که می‌توانید از آن عبور کنید چون اکنون عامل MFA را برای تأیید هویت خود دارید)، و مهاجم کنترل حساب را به دست گرفته است.

    بهترین بخش؟ اکثر میزهای پشتیبانی فرآیند یکسانی برای هر حساب دارند – مهم نیست چه کسی را جعل می‌کنید یا کدام حساب را می‌خواهید بازنشانی کنید. بنابراین، مهاجمان به طور خاص حساب‌هایی را هدف قرار می‌دهند که احتمالاً دارای امتیازات مدیریتی بالایی هستند – یعنی وقتی وارد شدند، پیشبرد حمله بسیار ساده است و بسیاری از افزایش امتیازات و حرکت جانبی معمول از مسیر حمله حذف می‌شود.

    بنابراین، کلاهبرداری‌های میز پشتیبانی روشی قابل اعتماد برای دور زدن MFA و دستیابی به تصاحب حساب ثابت شده‌اند – جای پایی که از آن بقیه حمله مانند سرقت داده‌ها، استقرار باج‌افزار و غیره راه‌اندازی می‌شود.

    فریب نخورید – این یک تحول جدید نیست

    اما چیزی که در گزارش‌ها به خوبی منتقل نمی‌شود این است که پراکنده عنکبوت از سال 2022 این کار را با موفقیت انجام می‌دهد و حملات به مارکس اند اسپنسر و کوآپ تنها نوک کوه یخ هستند. ویشینگ (تماس با کاربر برای وادار کردن او به دادن کد MFA) از ابتدا بخشی از جعبه ابزار آنها بوده است، با حملات اولیه به Twilio، LastPass، Riot Games و Coinbase که شامل نوعی مهندسی اجتماعی مبتنی بر صدا بودند.

    به طور قابل توجه، حملات پرسروصدا به Caesars، MGM Resorts و Transport for London همگی شامل تماس با میز پشتیبانی برای بازنشانی اعتبارنامه‌ها به عنوان بردار دسترسی اولیه بودند:

    Caesars در آگوست 2023 که در آن هکرها با جعل هویت یک کاربر IT، میز پشتیبانی برون‌سپاری شده را متقاعد کردند اعتبارنامه‌ها را بازنشانی کند، پس از آن مهاجم پایگاه داده برنامه وفاداری مشتری را دزدید و 15 میلیون دلار باج دریافت کرد.

    MGM Resorts در سپتامبر 2023، که در آن هکر از اطلاعات LinkedIn برای جعل هویت یک کارمند استفاده کرد و اعتبارنامه‌های کارمند را بازنشانی کرد که منجر به سرقت 6 ترابایت داده شد. پس از امتناع MGM از پرداخت، حمله نهایتاً منجر به قطعی 36 ساعته، ضرر 100 میلیون دلاری و دعوی دسته جمعی که با 45 میلیون دلار حل و فصل شد.

    Transport for London در سپتامبر 2024 منجر به افشای جزئیات بانکی 5000 کاربر، نیاز 30000 کارمند به حضور حضوری برای تأیید هویت و بازنشانی رمز عبور، و اختلال قابل توجه در خدمات آنلاین که ماه‌ها طول کشید.

    بنابراین نه تنها پراکنده عنکبوت (و سایر گروه‌های تهدید) مدتی است که از این تکنیک‌ها استفاده می‌کنند، بلکه شدت و تأثیر این حملات در حال افزایش است.

    اجتناب از اشتباهات میز پشتیبانی

    توصیه‌های زیادی برای ایمن‌سازی میزهای پشتیبانی منتشر شده است، اما بسیاری از توصیه‌ها همچنان منجر به فرآیندی می‌شوند که یا قابل فیشینگ است یا اجرای آن دشوار است. در نهایت، سازمان‌ها باید آماده باشند تا اصطکاک را به فرآیند میز پشتیبانی خود معرفی کنند و درخواست‌ها را در موقعیت‌هایی که خطر قابل توجهی وجود دارد، به تأخیر بیندازند یا رد کنند.

    برای مثال، داشتن فرآیندی برای بازنشانی MFA که خطر مرتبط با بازنشانی حساب با امتیازات بالا را تشخیص دهد:

    • نیاز به تأیید/تصعید چندطرفه برای بازنشانی حساب‌های سطح مدیر
    • نیاز به تأیید حضوری اگر فرآیند نتواند از راه دور انجام شود
    • مسدود کردن بازنشانی‌های خودخدمت هنگام مشاهده رفتار مشکوک

    و مراقب این نکات باشید:

    • اگر تماسی دریافت کردید، روش خوب این است که تماس را قطع کنید و با شماره موجود در پرونده کارمند تماس بگیرید. اما در دنیای تعویض سیم کارت، این راه حل بی‌نقص نیست – ممکن است دوباره با مهاجم تماس بگیرید.
    • اگر راه حل شما گرفتن کارمند جلوی دوربین است، دیپ‌فیک‌های پیچیده می‌توانند این رویکرد را خنثی کنند.

    اما میزهای پشتیبانی به دلیلی هدف هستند. آنها ذاتاً “مفید” هستند. این معمولاً در نحوه عملکرد و اندازه‌گیری عملکرد آنها منعکس می‌شود – تأخیرها به شما کمک نمی‌کنند تا به SLA های خود برسید! در نهایت، یک فرآیند تنها زمانی کار می‌کند که کارمندان مایل به رعایت آن باشند – و نتوان آنها را با مهندسی اجتماعی وادار به شکستن آن کرد.

    میزهای پشتیبانی که از عملیات روزانه جدا هستند (به ویژه زمانی که برون‌سپاری یا به خارج از کشور منتقل شده‌اند) نیز ذاتاً در برابر حملاتی که در آنها هویت کارمندان جعل می‌شود، آسیب‌پذیر هستند. اما حملاتی که در حال حاضر تجربه می‌کنیم باید به ذینفعان امنیتی مهمات کافی بدهد که چرا اصلاحات میز پشتیبانی برای ایمن‌سازی کسب و کار حیاتی است (و چه اتفاقی می‌افتد اگر تغییراتی ایجاد نکنید).

    مقایسه کلاهبرداری‌های میز پشتیبانی با سایر رویکردها

    با نگاهی کلی‌تر، ارزش دارد که فکر کنیم کلاهبرداری‌های میز پشتیبانی چگونه در جعبه ابزار گسترده‌تر تاکتیک‌ها، تکنیک‌ها و رویه‌ها (TTPs) که توسط بازیگران تهدید مانند پراکنده عنکبوت استفاده می‌شود، جای می‌گیرند.

    پراکنده عنکبوت از زمان ظهور در سال 2022 به شدت به TTP های مبتنی بر هویت متکی بوده است، با دنبال کردن مسیری تکرارپذیر از دور زدن MFA، دستیابی به تصاحب حساب در حساب‌های ممتاز، سرقت داده‌ها از خدمات ابری و استقرار باج‌افزار (عمدتاً در محیط‌های VMware).

    • فیشینگ اعتبارنامه از طریق ایمیل و پیامک (smishing) برای جمع‌آوری انبوه رمزهای عبور
    • استفاده از تعویض سیم کارت برای دور زدن MFA مبتنی بر پیامک
    • استفاده از خستگی MFA (

    کلمات کلیدی : پراکنده عنکبوت, کلاهبرداری میز پشتیبانی, احراز هویت چندعاملی, حملات سایبری, مهندسی اجتماعی, امنیت سایبری

    Upvote0PointsDownvote
    0 People voted this article. 0 Upvotes - 0 Downvotes.
    In Love0Happy0Not Sure0OMG0Angry0Sad0LOL0Cry0Silly0Crazy0
    svg

    نظر شما چیست؟

    خوشحال می‌شویم نظر شما را بدانیم. نظری بنویسید.

    پاسخی بنویسید

    آخرین دیدگاه‌ها

    دیدگاهی برای نمایش وجود ندارد.

    بایگانی‌ها

    سایت خبری پندافند

    svg

    ناوبری سریع

    • 1

      عنکبوت پراکنده: درک کلاهبرداری‌های میز پشتیبانی و نحوه دفاع از سازمان شما