در فاصله فروردین تا اردیبهشت ۱۴۰۵ (آوریل تا می ۲۰۲۶)، تیم تحقیقاتی GReAT شرکت کسپرسکی یک کمپین فیشینگ هوشمندانه را شناسایی کرد که در آن مهاجمان بهجای ساختن یک دامنه جعلی، از یک صفحه کاملاً معتبر و قابلاعتماد مایکروسافت برای فریب قربانیان استفاده میکنند. این روش که «فیشینگ Device Code» نام دارد، یکی از مکانیزمهای رسمی احراز هویت مایکروسافت به نام Device Authorization Grant را هدف قرار میدهد و نشان میدهد که حتی رعایت دقیقترین توصیه امنیتی—یعنی بررسی آدرس سایت پیش از وارد کردن اطلاعات—همیشه کافی نیست.
پروتکل Device Authorization Grant چیست و چرا هدف حمله قرار گرفته؟
Device Authorization Grant بخشی از استاندارد OAuth 2.0 است که برای سادهسازی ورود کاربران در دستگاههای محدود از نظر ورودی—مانند تلویزیونهای هوشمند، دستگاههای IoT و چاپگرها—طراحی شده است. در این روش، کاربر بهجای وارد کردن نام کاربری و رمز عبور روی خود دستگاه، یک کد یکبارمصرف را روی گوشی یا رایانه شخصی خود در صفحه رسمی login.microsoftonline.com وارد میکند. دقیقاً همین ویژگی—تکیه بر اعتماد کاربر به یک آدرس رسمی و شناختهشده—نقطهای است که مهاجمان از آن سوءاستفاده کردهاند.
مراحل قانونی این پروتکل چگونه است؟
پیش از بررسی حمله، لازم است روند عادی این پروتکل را بشناسیم:
- درخواست کد احراز هویت: برنامه یک درخواست POST به آدرس devicecode مایکروسافت ارسال میکند و در پاسخ، یک device_code داخلی، یک user_code کوتاه برای نمایش به کاربر، و یک verification_uri دریافت میکند.
- نمایش کد به کاربر: دستگاه (مثلاً تلویزیون هوشمند) کد و آدرس را—اغلب در قالب QR Code—به کاربر نشان میدهد.
- ورود کد در دستگاه دوم: کاربر با اسکن QR Code یا وارد کردن دستی آدرس، به صفحه رسمی مایکروسافت میرود و کد را وارد میکند.
- استعلام مداوم وضعیت: دستگاه اصلی بهطور مداوم از سرور مایکروسافت میپرسد که آیا کاربر تأیید را انجام داده یا نه.
- صدور توکن دسترسی: پس از تأیید کاربر، سرور یک access_token، یک refresh_token و یک id_token صادر میکند.
- تمدید خودکار دسترسی: دستگاه با استفاده از refresh_token میتواند بدون نیاز به تعامل مجدد کاربر، دسترسی خود را برای مدت طولانی تمدید کند.
همین ویژگی آخر—امکان تمدید خودکار و طولانیمدت دسترسی—دقیقاً همان چیزی است که این روش را برای مهاجمان جذاب کرده است.
تحلیل یک حمله واقعی فیشینگ Device Code
بر اساس گزارش کسپرسکی، ایمیل آغازین این کمپین در قالب یک اطلاعیه از یک دفتر حقوقی طراحی شده و حاوی یک فایل PDF محافظتشده با رمز عبور بوده است. پس از باز کردن فایل، قربانی با صفحهای روبهرو میشود که فهرستی از اسناد را نمایش میدهد و برای مشاهده آنها باید روی یک لینک کلیک کند.
نکته کلیدی اینجاست: این لینک در نگاه اول به یک آدرس رسمی مایکروسافت اشاره دارد، اما پارامترهای موجود در آن آدرس، کاربر را بهصورت خودکار به یک صفحه فیشینگ هدایت میکنند که ظاهری شبیه به یک پورتال حقوقی سازمانی دارد. این صفحه با چند مرحله کپچا همراه است که احتمالاً برای فیلتر کردن رباتهای امنیتی طراحی شدهاند.
پس از عبور از این مراحل، به قربانی یک کد یکبارمصرف نمایش داده میشود که همان user_code دریافتی توسط سرور مهاجم از مایکروسافت است. با کلیک روی این کد، آن بهطور خودکار کپی شده و کاربر به همان صفحه رسمی ورود مایکروسافت هدایت میشود—جایی که باید کد را جایگذاری و فرایند احراز هویت چندمرحلهای (MFA) را تکمیل کند. بهمحض تکمیل این فرایند، مهاجم توکنهای دسترسی، تمدید و هویت قربانی را در اختیار میگیرد و از آنها برای خواندن و ارسال ایمیل از صندوق پستی قربانی، استخراج فایل از OneDrive و دسترسی به گفتوگوهای Teams استفاده میکند.
نسخه برزیلی و گسترش جغرافیایی حمله
کسپرسکی نسخه تغییریافتهای از این کمپین را نیز شناسایی کرده که کاربران برزیلی را هدف قرار میدهد. در این نسخه، بهجای فایل PDF، ایمیل حاوی لینکی به سایت معتبر و شناختهشده cacoo.com (پلتفرم رسمی طراحی دیاگرام) است. این دامنه معتبر بهعنوان یک ریدایرکت باز (Open Redirect) عمل میکند و کاربر را به همان زیرساخت فیشینگ هدایت میکند. این تطبیقپذیری نشان میدهد گروه پشت این کمپین همچنان فعال است و روش خود را برای مناطق جغرافیایی مختلف بازطراحی میکند.
چرا این تهدید برای سازمانهای ایرانی مهم است؟
بسیاری از سازمانهای ایرانی—از شرکتهای خصوصی گرفته تا نهادهای دولتی—از Microsoft 365 و Entra ID (Azure AD) برای مدیریت ایمیل سازمانی، فایلهای OneDrive و ارتباطات Teams استفاده میکنند. از آنجا که این حمله نه از طریق بدافزار، بلکه با سوءاستفاده از یک قابلیت رسمی و قانونی مایکروسافت انجام میشود، بسیاری از فیلترهای امنیتی سنتی—که صرفاً به بررسی آدرس یا شهرت دامنه تکیه دارند—قادر به شناسایی آن نیستند. سازمانهایی که Device Code Flow را بدون نیاز واقعی فعال نگه داشتهاند، در معرض بیشترین ریسک قرار دارند.
نشانههای هشدار و رفتارهای مشکوک
- درخواست تأیید ناخواسته: دریافت هرگونه کد Device Authorization که خودتان درخواست ورود آن را ندادهاید.
- فایل ضمیمه محافظتشده با رمز: ایمیلهایی با ظاهر رسمی (مانند اطلاعیه حقوقی) که یک PDF قفلشده به همراه دارند.
- چند مرحله کپچای پیاپی: صفحاتی که پیش از نمایش محتوای اصلی، چندین بار هویت انسانی بودن کاربر را بررسی میکنند.
- لینکهای ریدایرکت از دامنههای معتبر: آدرسهایی که با وجود تعلق به یک دامنه شناختهشده (مانند مایکروسافت یا سرویسهای آنلاین دیگر)، پارامترهایی نظیر redirect_uri، return_url یا next دارند که مقصد نهایی را تغییر میدهند.
توصیههای عملی برای کاربران و سازمانها
- هرگز کدی را که خودتان درخواست نکردهاید تأیید نکنید: اگر روی هیچ دستگاهی اقدام به ورود نکردهاید، هیچ کد Device Authorization را وارد نکنید.
- به دامنه معتبر هم اعتماد کورکورانه نکنید: پیش از کلیک روی هر لینک، نشانگر ماوس را روی آن نگه دارید و علاوه بر دامنه اصلی، پارامترهای انتهای آدرس را نیز بررسی کنید.
- غیرفعالسازی Device Code Flow در صورت عدم نیاز: تیمهای امنیتی سازمان باید ضرورت کسبوکاری این روش احراز هویت را ارزیابی کنند و در صورت نبود نیاز واقعی، آن را از طریق Conditional Access در Microsoft Entra ID بهطور کامل غیرفعال کنند.
- پایش رویدادهای DeviceCodeSignIn: تیمهای SOC باید هشدارهای اختصاصی برای این نوع رویداد و همچنین ورودهای غیرعادی از موقعیتهای جغرافیایی نامتعارف تعریف کنند.
- استفاده از راهکارهای امنیت ایمیل سازمانی: استقرار راهکارهای پیشرفته امنیت ایمیل که قادر به شناسایی الگوهای فیشینگ پیچیده—و نه فقط فیلترهای ساده مبتنی بر دامنه—باشند، ضروری است.
جمعبندی
گزارش کسپرسکی نشان میدهد مهاجمان دیگر محدود به ساختن دامنههای جعلی و آشکار نیستند و میتوانند از قابلیتهای کاملاً رسمی و قانونی پلتفرمهای بزرگی مانند مایکروسافت نیز به نفع خود بهره ببرند. در چنین شرایطی، تنها راه مقابله مؤثر، ترکیبی از آگاهیرسانی مستمر به کاربران، سختسازی تنظیمات هویتی سازمان و پایش فعال رویدادهای ورود است. جزئیات کامل فنی این گزارش در مقاله اصلی کسپرسکی روی Securelist در دسترس است.
مشاوره امنیتی رایگان با کارشناسان فدک رایان
اگر سازمان شما نیز از Microsoft 365 یا Entra ID استفاده میکند و میخواهید مطمئن شوید در برابر تهدیداتی از این جنس ایمن هستید، کارشناسان فدک رایان با تکیه بر تجربه چندینساله در پیادهسازی راهکارهای امنیتی کسپرسکی آماده پاسخگویی به سؤالات شما هستند. برای دریافت مشاوره تخصصی، بررسی وضعیت امنیتی سازمان یا هماهنگی جلسه فنی، همین امروز از طریق صفحه تماس با ما با ما در ارتباط باشید؛ کارشناسان ما در اسرع وقت پاسخگوی سؤالات شما خواهند بود.