برترین نماینده کسپرسکی در غرب آسیا

فیشینگ Device Code: روش تازه مهاجمان برای سرقت حساب‌های Microsoft 365

Telegram
WhatsApp
LinkedIn

فیشینگ Device Code: روش تازه مهاجمان برای سرقت حساب‌های Microsoft 365

تصویر شاخص حمله فیشینگ Device Code از طریق پلتفرم هویت مایکروسافت

در فاصله فروردین تا اردیبهشت ۱۴۰۵ (آوریل تا می ۲۰۲۶)، تیم تحقیقاتی GReAT شرکت کسپرسکی یک کمپین فیشینگ هوشمندانه را شناسایی کرد که در آن مهاجمان به‌جای ساختن یک دامنه جعلی، از یک صفحه کاملاً معتبر و قابل‌اعتماد مایکروسافت برای فریب قربانیان استفاده می‌کنند. این روش که «فیشینگ Device Code» نام دارد، یکی از مکانیزم‌های رسمی احراز هویت مایکروسافت به نام Device Authorization Grant را هدف قرار می‌دهد و نشان می‌دهد که حتی رعایت دقیق‌ترین توصیه امنیتی—یعنی بررسی آدرس سایت پیش از وارد کردن اطلاعات—همیشه کافی نیست.

پروتکل Device Authorization Grant چیست و چرا هدف حمله قرار گرفته؟

Device Authorization Grant بخشی از استاندارد OAuth 2.0 است که برای ساده‌سازی ورود کاربران در دستگاه‌های محدود از نظر ورودی—مانند تلویزیون‌های هوشمند، دستگاه‌های IoT و چاپگرها—طراحی شده است. در این روش، کاربر به‌جای وارد کردن نام کاربری و رمز عبور روی خود دستگاه، یک کد یک‌بارمصرف را روی گوشی یا رایانه شخصی خود در صفحه رسمی login.microsoftonline.com وارد می‌کند. دقیقاً همین ویژگی—تکیه بر اعتماد کاربر به یک آدرس رسمی و شناخته‌شده—نقطه‌ای است که مهاجمان از آن سوءاستفاده کرده‌اند.

مراحل قانونی این پروتکل چگونه است؟

پیش از بررسی حمله، لازم است روند عادی این پروتکل را بشناسیم:

  1. درخواست کد احراز هویت: برنامه یک درخواست POST به آدرس devicecode مایکروسافت ارسال می‌کند و در پاسخ، یک device_code داخلی، یک user_code کوتاه برای نمایش به کاربر، و یک verification_uri دریافت می‌کند.
  2. نمایش کد به کاربر: دستگاه (مثلاً تلویزیون هوشمند) کد و آدرس را—اغلب در قالب QR Code—به کاربر نشان می‌دهد.
  3. ورود کد در دستگاه دوم: کاربر با اسکن QR Code یا وارد کردن دستی آدرس، به صفحه رسمی مایکروسافت می‌رود و کد را وارد می‌کند.
  4. استعلام مداوم وضعیت: دستگاه اصلی به‌طور مداوم از سرور مایکروسافت می‌پرسد که آیا کاربر تأیید را انجام داده یا نه.
  5. صدور توکن دسترسی: پس از تأیید کاربر، سرور یک access_token، یک refresh_token و یک id_token صادر می‌کند.
  6. تمدید خودکار دسترسی: دستگاه با استفاده از refresh_token می‌تواند بدون نیاز به تعامل مجدد کاربر، دسترسی خود را برای مدت طولانی تمدید کند.

همین ویژگی آخر—امکان تمدید خودکار و طولانی‌مدت دسترسی—دقیقاً همان چیزی است که این روش را برای مهاجمان جذاب کرده است.

تحلیل یک حمله واقعی فیشینگ Device Code

بر اساس گزارش کسپرسکی، ایمیل آغازین این کمپین در قالب یک اطلاعیه از یک دفتر حقوقی طراحی شده و حاوی یک فایل PDF محافظت‌شده با رمز عبور بوده است. پس از باز کردن فایل، قربانی با صفحه‌ای روبه‌رو می‌شود که فهرستی از اسناد را نمایش می‌دهد و برای مشاهده آن‌ها باید روی یک لینک کلیک کند.

نکته کلیدی اینجاست: این لینک در نگاه اول به یک آدرس رسمی مایکروسافت اشاره دارد، اما پارامترهای موجود در آن آدرس، کاربر را به‌صورت خودکار به یک صفحه فیشینگ هدایت می‌کنند که ظاهری شبیه به یک پورتال حقوقی سازمانی دارد. این صفحه با چند مرحله کپچا همراه است که احتمالاً برای فیلتر کردن ربات‌های امنیتی طراحی شده‌اند.

پس از عبور از این مراحل، به قربانی یک کد یک‌بارمصرف نمایش داده می‌شود که همان user_code دریافتی توسط سرور مهاجم از مایکروسافت است. با کلیک روی این کد، آن به‌طور خودکار کپی شده و کاربر به همان صفحه رسمی ورود مایکروسافت هدایت می‌شود—جایی که باید کد را جای‌گذاری و فرایند احراز هویت چندمرحله‌ای (MFA) را تکمیل کند. به‌محض تکمیل این فرایند، مهاجم توکن‌های دسترسی، تمدید و هویت قربانی را در اختیار می‌گیرد و از آن‌ها برای خواندن و ارسال ایمیل از صندوق پستی قربانی، استخراج فایل از OneDrive و دسترسی به گفت‌وگوهای Teams استفاده می‌کند.

نسخه برزیلی و گسترش جغرافیایی حمله

کسپرسکی نسخه تغییریافته‌ای از این کمپین را نیز شناسایی کرده که کاربران برزیلی را هدف قرار می‌دهد. در این نسخه، به‌جای فایل PDF، ایمیل حاوی لینکی به سایت معتبر و شناخته‌شده cacoo.com (پلتفرم رسمی طراحی دیاگرام) است. این دامنه معتبر به‌عنوان یک ریدایرکت باز (Open Redirect) عمل می‌کند و کاربر را به همان زیرساخت فیشینگ هدایت می‌کند. این تطبیق‌پذیری نشان می‌دهد گروه پشت این کمپین همچنان فعال است و روش خود را برای مناطق جغرافیایی مختلف بازطراحی می‌کند.

چرا این تهدید برای سازمان‌های ایرانی مهم است؟

بسیاری از سازمان‌های ایرانی—از شرکت‌های خصوصی گرفته تا نهادهای دولتی—از Microsoft 365 و Entra ID (Azure AD) برای مدیریت ایمیل سازمانی، فایل‌های OneDrive و ارتباطات Teams استفاده می‌کنند. از آنجا که این حمله نه از طریق بدافزار، بلکه با سوءاستفاده از یک قابلیت رسمی و قانونی مایکروسافت انجام می‌شود، بسیاری از فیلترهای امنیتی سنتی—که صرفاً به بررسی آدرس یا شهرت دامنه تکیه دارند—قادر به شناسایی آن نیستند. سازمان‌هایی که Device Code Flow را بدون نیاز واقعی فعال نگه داشته‌اند، در معرض بیشترین ریسک قرار دارند.

نشانه‌های هشدار و رفتارهای مشکوک

  • درخواست تأیید ناخواسته: دریافت هرگونه کد Device Authorization که خودتان درخواست ورود آن را نداده‌اید.
  • فایل ضمیمه محافظت‌شده با رمز: ایمیل‌هایی با ظاهر رسمی (مانند اطلاعیه حقوقی) که یک PDF قفل‌شده به همراه دارند.
  • چند مرحله کپچای پیاپی: صفحاتی که پیش از نمایش محتوای اصلی، چندین بار هویت انسانی بودن کاربر را بررسی می‌کنند.
  • لینک‌های ریدایرکت از دامنه‌های معتبر: آدرس‌هایی که با وجود تعلق به یک دامنه شناخته‌شده (مانند مایکروسافت یا سرویس‌های آنلاین دیگر)، پارامترهایی نظیر redirect_uri، return_url یا next دارند که مقصد نهایی را تغییر می‌دهند.

توصیه‌های عملی برای کاربران و سازمان‌ها

  1. هرگز کدی را که خودتان درخواست نکرده‌اید تأیید نکنید: اگر روی هیچ دستگاهی اقدام به ورود نکرده‌اید، هیچ کد Device Authorization را وارد نکنید.
  2. به دامنه معتبر هم اعتماد کورکورانه نکنید: پیش از کلیک روی هر لینک، نشانگر ماوس را روی آن نگه دارید و علاوه بر دامنه اصلی، پارامترهای انتهای آدرس را نیز بررسی کنید.
  3. غیرفعال‌سازی Device Code Flow در صورت عدم نیاز: تیم‌های امنیتی سازمان باید ضرورت کسب‌وکاری این روش احراز هویت را ارزیابی کنند و در صورت نبود نیاز واقعی، آن را از طریق Conditional Access در Microsoft Entra ID به‌طور کامل غیرفعال کنند.
  4. پایش رویدادهای DeviceCodeSignIn: تیم‌های SOC باید هشدارهای اختصاصی برای این نوع رویداد و همچنین ورودهای غیرعادی از موقعیت‌های جغرافیایی نامتعارف تعریف کنند.
  5. استفاده از راهکارهای امنیت ایمیل سازمانی: استقرار راهکارهای پیشرفته امنیت ایمیل که قادر به شناسایی الگوهای فیشینگ پیچیده—و نه فقط فیلترهای ساده مبتنی بر دامنه—باشند، ضروری است.

جمع‌بندی

گزارش کسپرسکی نشان می‌دهد مهاجمان دیگر محدود به ساختن دامنه‌های جعلی و آشکار نیستند و می‌توانند از قابلیت‌های کاملاً رسمی و قانونی پلتفرم‌های بزرگی مانند مایکروسافت نیز به نفع خود بهره ببرند. در چنین شرایطی، تنها راه مقابله مؤثر، ترکیبی از آگاهی‌رسانی مستمر به کاربران، سخت‌سازی تنظیمات هویتی سازمان و پایش فعال رویدادهای ورود است. جزئیات کامل فنی این گزارش در مقاله اصلی کسپرسکی روی Securelist در دسترس است.


مشاوره امنیتی رایگان با کارشناسان فدک رایان

اگر سازمان شما نیز از Microsoft 365 یا Entra ID استفاده می‌کند و می‌خواهید مطمئن شوید در برابر تهدیداتی از این جنس ایمن هستید، کارشناسان فدک رایان با تکیه بر تجربه چندین‌ساله در پیاده‌سازی راهکارهای امنیتی کسپرسکی آماده پاسخ‌گویی به سؤالات شما هستند. برای دریافت مشاوره تخصصی، بررسی وضعیت امنیتی سازمان یا هماهنگی جلسه فنی، همین امروز از طریق صفحه تماس با ما با ما در ارتباط باشید؛ کارشناسان ما در اسرع وقت پاسخ‌گوی سؤالات شما خواهند بود.

نرم افزار پیشرفته حضور و غیاب

محصولی از فدک رایان

محتوای جدول