قبل عامين ، في مؤتمر أمان الإنترنت Black Hat US ، تمت دعوة فريق Yubico للتحدث عن كيفية عمل التصيد الاحتيالي المتقدم وكيف يمكن لمعايير مصادقة FIDO و YubiKeys المساعدة في التخفيف من هذه الهجمات.
يخطف المتسللون اليوم بشكل متزايد أكواد الاستخدام لمرة واحدة ويدفعون الإخطارات أثناء النافذة القصيرة عندما تكون صالحة ، والهجوم والاستيلاء على الحساب غير مرئي للمستخدم.
مع الارتفاع الأخير في التصيد بالرمح باستخدام هذه الأساليب ، قررنا البناء على عملنا السابق و تبين كيف يبدو أن يتم التصيد الاحتيالي بهذه التقنيات الحديثة عند استخدام عدة أنواع من المصادقة الأساسية متعددة العوامل.
إذا كانت بعض هذه المصطلحات غير مألوفة ، فلا تقلق ، فسنراجعها في هذا الفيديو.
شكر وتقدير
تحتوي هذه الروابط على تفاصيل الهجمات الأخيرة. تعرض مقالة كريبس على وجه الخصوص لقطات شاشة لبعض صفحات التصيد المستخدمة ضد عدة أهداف. كان موقع Twitter مفتوحًا تمامًا وتم نشره علنًا حول الحادث الأمني ذي الصلة.
- مقالة آندي جرينبيرج السلكية
- منشور بريان كريبس حول التصيد / التصيد على نطاق واسع للشركات
- مكتب التحقيقات الفدرالي و CISA الاستشاري المشترك لوزارة الأمن الداخلي بشأن هذه الأمور
- مقال شون هوليستر The Verge حول الاعتقالات اللاحقة
- منشور مدونة تويتر العامة حول الهجمات التي واجهوها وما حدث وماذا يفعلون
حدثت مجموعة مختلفة من الهجمات المماثلة خلال السنوات القليلة الماضية وهي خطيرة للغاية. لدى منظمة العفو الدولية ثلاث مقالات متعمقة تعرض بالتفصيل تقنيات التصيد الاحتيالي التي استخدمها على ما يبدو مهاجمون بدوافع سياسية ضد المدافعين عن حقوق الإنسان والصحفيين ومنظمات المجتمع المدني في الشرق الأوسط ومصر وشمال إفريقيا خلال عامي 2018 و 2019. هذا مثال واضح على كيفية معرفة المهاجمين بضحاياهم ، وسيستخدمون الأشياء التي يهتمون بها (الأمان) لمحاولة خداعهم.
- https://www.amnesty.org/en/latest/research/2018/12/when-best-practice-is-not-good-enough/
- https://www.amnesty.org/en/latest/research/2019/03/phishing-attacks-using-third-party-applications-against-egyptian-civil-society-organizations/
- https://www.amnesty.org/en/latest/research/2019/08/evolving-phishing-attacks-targeting-journalists-and-human-rights-defenders-from-the-middle-east-and-north-africa/
كما لم يتم تناول الهجمات على المصادقة القائمة على الرسائل القصيرة حيث يتم الاستفادة من شبكة الهاتف عبر اتصالات العمود الفقري أو مبادلات sim لاعتراض الرمز الذي كان من المفترض أن تحصل عليه الضحية. اقرأ أدناه لمعرفة المزيد حول هذا:
- حادثة رديت في 2018
- أشخاص مطلعون على AT&T و Verizon مكلفين بمساعدة المجرمين في الوصول إلى أرقام الهواتف
- تم الاستيلاء على حساب Jack Dorsey على Twitter عن طريق تبديل بطاقة SIM
كانت الطريقة التي تمكنت من خلالها من إنشاء صفحات تصيد نظيفة إلى حد ما على مدار يوم تقريبًا هي استخدام إطار عمل تصيد مفتوح المصدر يسمى Evilginx2 بواسطة Kuba Gretzky والقرصنة في بعض التعديلات وجافا سكريبت. إذا كنت مهتمًا بتفاصيل كيفية تنفيذ هذه الهجمات تحت الغطاء ، أو ترغب في رؤية بعض الأمثلة الرائعة الأخرى ضد الخدمات الأخرى ، فيرجى الاطلاع على حديث Kuba الرائع هنا .
بواسطة Christopher Harrell at 2020-09-08 20:18:00 المصدر Yubico: 
No comments:
Post a Comment