خب بچهها بیاید با هم یه ترفند خفن که هکرها تازگیا سرش دارن کلی سو استفاده میکنن رو بررسی کنیم. قضیه درباره OAuth هست؛ یعنی همون سیستمی که مثلاً به جای این که تو یه سایت جداگانه دوباره ثبتنام کنی، با حساب گوگل یا فیسبوکت لاگین میکنی. این خیلی ساده و باحاله، ولی بعضی وقتا میتونه حسابی دردسرساز بشه!
یه تیم محقق از شرکت Proofpoint اخیراً فهمیدن که هکرها دارن با همین OAuth، به سیستمها دسترسی طولانیمدت پیدا میکنن؛ اونم به طوری که حتی اگه شما رمزت رو عوض کنی یا احراز هویت دو مرحلهای (همون MFA که وقتی لاگین میکنی یه کد اضافه برات میفرسته) رو فعال کنی، باز هم اونها داخل سیستم میمونن!
حالا چی شده؟ این هکرها میتونن یه اپلیکیشن داخلی جعلی بسازن (اپ داخلی یعنی مثلاً یه اپ که تو فضای کاری یا کلاود شرکت فقط اجرا میشه) و با دسترسی بالایی که بهش میدن، میتونن به فایلها، ارتباطات و کلی چیز دیگه دست پیدا کنن. مهم اینجاست که حتی وقتی رمز عبورت هم عوض بشه، این دسترسی از بین نمیره!
جالب اینجاست که این فقط یه فرضیه یا آزمایش توی آزمایشگاه نیست، محققها واقعاً نمونه واقعی هم از این حملهها پیدا کردن! مثلاً یه مورد بوده که بعد از تقریباً ۴ روز رمز عبور کاربر عوض شد، بعدش کلی تلاش ناموفق لاگین از یه آیپی عجیب و غریب از نیجریه اومد (که احتمالاً هکر از اونجا بوده)، ولی در کمال تعجب اپلیکیشن مخرب هنوزم روی سیستم فعال بوده و همچنان دسترسی داشته!
توی چند سال اخیر دستبرد به حسابهای کلاود (Cloud account takeover یا ATO – یه جور حمله که هکر همه چی رو از حساب شما میدزده) خیلی زیاد شده و دیگه نه تنها هکرها سریعتر و حرفهایتر شدن، بلکه حملههاشون خیلی پیچیدهترم شده.
حالا سؤال اینجاست: چی کار کنیم که گیر این داستان نیفتیم؟ خب نکته اصلی اینه که فقط با عوض کردن رمز یا فعال کردن MFA کار تموم نمیشه! باید حواستون باشه که همین اپلیکیشنهای داخلی یا هر چیزی که به حسابهاتون دسترسی داره رو هر از گاهی دقیقاً بررسی کنین. چون این دسترسیهایی که هکرها با این ترفند میگیرن، برای دو سال هم میتونه معتبر بمونه و خودش خود به خود لغو نمیشه! تنها راهش اینه که خودت بری و دستی اون دسترسی رو حذفش کنی.
پس حتماً هر چند وقت یه بار – مخصوصاً اگه حتی کمی مشکوک شدی – برید سراغ تنظیمات دسترسیها و ببینید چه اپهایی وصل هستن و چه اجازههایی دارن. این روزا تهدیدها شوخی ندارن و بدون چک کردن مرتب، شاید یه اپ مخرب تا مدتها پشت سیستمت باشه و تو خبر نداشته باشی!
خلاصه مراقب باشین، کنجکاو بمونین و دسترسیها رو بیخیال رد نکنین! 😉
منبع: +
