مقدمه: قربانی شدن گوگل در کلاهبرداری خودش

در ماه ژوئن، غول فناوری گوگل اعلام کرد که یک کمپین سایبری گسترده را کشف کرده است که حساب‌های مشتریان Salesforce را به صورت انبوه به خطر می‌اندازد. این کمپین با تکیه بر روش‌های مهندسی اجتماعی پیچیده، اطلاعات حساس را از سازمان‌ها سرقت می‌کرد. روش اصلی این کلاهبرداری بر مبنای جعل هویت یکی از اعضای تیم فناوری اطلاعات شرکت مشتری و درخواست دسترسی فوری به حساب کاربری، تحت عنوان حل یک مشکل فنی فوری، استوار بود. هدف اصلی این مهاجمان، فریب دادن کارکنان برای افشای اطلاعات ورود به سیستم یا اعطای دسترسی به سامانه‌های داخلی بود. آنچه این ماجرا را به طرز قابل توجهی طعنه‌آمیز می‌کند، این است که تنها دو ماه پس از افشای این کمپین توسط گوگل، خود این شرکت نیز قربانی همین نوع کلاهبرداری شد.

این واقعه نشان می‌دهد که حتی پیشرفته‌ترین شرکت‌های فناوری نیز در برابر حملات مهندسی اجتماعی آسیب‌پذیر هستند. این نوع حملات، به جای بهره‌برداری از آسیب‌پذیری‌های فنی در نرم‌افزارها یا سیستم‌ها، بر عامل انسانی تمرکز دارند. فریب کارکنان از طریق ترفندهای روان‌شناختی، راهی کم‌هزینه‌تر اما بسیار مؤثر برای نفوذ به شبکه‌های امن محسوب می‌شود. این اتفاق، زنگ هشداری برای تمامی سازمان‌ها، صرف‌نظر از اندازه و سطح امنیت سایبری آنها، به صدا درآورد تا مراقب تهدیدات مشابه باشند.

افشای این حادثه توسط گوگل، نه تنها اعتبار روش‌های امنیتی این شرکت را زیر سوال برد، بلکه به طور کلی بر نیاز مبرم به آموزش کارکنان و پیاده‌سازی پروتکل‌های امنیتی سخت‌گیرانه‌تر تاکید کرد. این حادثه، به وضوح نشان داد که هیچ سازمانی، حتی سازمانی به بزرگی و پیچیدگی گوگل، از خطر حملات هدفمند مهندسی اجتماعی در امان نیست و آمادگی کامل برای مقابله با چنین تهدیداتی، امری حیاتی است.

تاکتیک‌های مهندسی اجتماعی پشت حملات

این حملات سایبری توسط بازیگران تهدید با انگیزه مالی انجام می‌شوند. هدف اصلی آنها سرقت اطلاعات ارزشمند و سپس فروش آن به قربانیان با قیمت‌های گزاف، اغلب در ازای عدم افشای عمومی داده‌ها، است. به جای صرف زمان و منابع زیاد برای کشف و بهره‌برداری از آسیب‌پذیری‌های نرم‌افزاری یا وب‌سایت، مهاجمان رویکردی بسیار ساده‌تر و در عین حال مؤثرتر را در پیش گرفته‌اند: تماس مستقیم با قربانی و درخواست دسترسی. این شیوه که به مهندسی اجتماعی معروف است، بر پایه فریب و تلقین بنا شده و توانسته موفقیت چشمگیری کسب کند.

گزارش‌های Bleeping Computer نشان می‌دهد که چندین شرکت بزرگ و معتبر، از جمله Adidas، Qantas، Allianz Life، Cisco و همچنین زیرمجموعه‌های LVMH نظیر Louis Vuitton، Dior و Tiffany & Co، قربانی این کمپین شده‌اند و اطلاعات سیستم‌های Salesforce آن‌ها به خطر افتاده است. این فهرست بلندبالا از شرکت‌های جهانی، اهمیت و گستردگی این نوع حملات را برجسته می‌کند و نشان می‌دهد که هیچ صنعتی از این تهدید مصون نیست.

تأثیر این حملات فراتر از از دست دادن داده‌های صرف است؛ آنها می‌توانند منجر به آسیب‌های جدی به شهرت شرکت‌ها، زیان‌های مالی قابل توجه و حتی تبعات قانونی شوند. تاکتیک‌های مهندسی اجتماعی، به دلیل بهره‌برداری از خطاهای انسانی به جای نقص‌های سیستمی، بسیار دشوارتر قابل شناسایی و پیشگیری هستند و نیاز به آگاهی و آموزش مداوم کارکنان دارند. مهاجمان با استفاده از حس فوریت یا اعتماد، قربانیان را به انجام اقداماتی که به نفع مهاجم است، سوق می‌دهند و این امر، مقابله با این حملات را چالش‌برانگیزتر می‌کند.

نحوه سوءاستفاده از قابلیت‌های Salesforce

مهاجمان در این کمپین سایبری، از یک قابلیت خاص در Salesforce سوءاستفاده کرده‌اند که به مشتریان اجازه می‌دهد حساب‌های خود را به برنامه‌های شخص ثالث متصل کنند. این برنامه‌ها معمولاً برای یکپارچه‌سازی داده‌ها با سیستم‌های داخلی شرکت، مانند ابزارهای وبلاگ‌نویسی، نقشه‌برداری یا سایر منابع مورد استفاده قرار می‌گیرند. این قابلیت، به خودی خود، یک ویژگی مفید برای افزایش کارایی سیستم است، اما در دست مهاجمان، به ابزاری برای نفوذ تبدیل شده است.

سناریوی حمله به این صورت است که مهاجمان با کارکنان شرکت تماس می‌گیرند و به آنها دستور می‌دهند که یک برنامه خارجی را به سیستم Salesforce خود متصل کنند. این تماس‌ها اغلب با لحنی قانع‌کننده و با ادعای فوریت انجام می‌شود تا قربانی فرصت تأمل یا مشورت با دیگران را نداشته باشد. هنگامی که کارمند شروع به انجام دستورالعمل‌ها می‌کند، مهاجمان از او یک کد امنیتی هشت‌رقمی درخواست می‌کنند که رابط کاربری Salesforce قبل از برقراری اتصال، آن را برای تأیید می‌طلبد.

با دریافت این کد امنیتی، مهاجمان قادر به دسترسی کامل به سیستم Salesforce و تمامی داده‌های ذخیره شده در آن می‌شوند. این داده‌ها می‌توانند شامل اطلاعات مشتریان، سوابق فروش، جزئیات مالی و سایر اطلاعات تجاری حساس باشند. این روش، بدون نیاز به دانش پیچیده هک یا بهره‌برداری از آسیب‌پذیری‌های ناشناخته، تنها با فریب دادن یک فرد، امکان نفوذ عمیق به شبکه را فراهم می‌کند. این نشان می‌دهد که چگونه یک ویژگی مشروع و کاربردی می‌تواند با مهندسی اجتماعی به یک نقطه ضعف امنیتی تبدیل شود.

جزئیات نقض اطلاعات گوگل و تأخیر در افشا

گوگل تایید کرده است که سیستم Salesforce خود نیز در میان قربانیان این کمپین قرار داشته است. این نقض امنیتی در ماه ژوئن رخ داده بود، اما گوگل تنها روز سه‌شنبه، یعنی دو ماه پس از وقوع حادثه، آن را افشا کرد. این تأخیر در افشا احتمالاً به این دلیل بوده است که شرکت اخیراً از این اتفاق مطلع شده یا تحقیقات داخلی خود را به پایان رسانده است. در دنیای امنیت سایبری، زمان واکنش و افشای نقض‌ها از اهمیت بالایی برخوردار است، اما پیچیدگی‌های کشف و تحلیل چنین حملاتی می‌تواند منجر به تأخیر در اطلاع‌رسانی شود.

گوگل در بیانیه‌ای اعلام کرد: «تحلیل‌ها نشان داد که داده‌ها توسط بازیگر تهدید در یک پنجره زمانی کوتاه، قبل از قطع دسترسی، بازیابی شده‌اند.» این بدان معناست که مهاجمان پیش از آنکه گوگل متوجه نفوذ شود و دسترسی آنها را قطع کند، توانسته‌اند اطلاعات را استخراج کنند. این «پنجره زمانی کوتاه» نشان‌دهنده سرعت عمل مهاجمان و ضرورت واکنش سریع سازمان‌ها به هرگونه فعالیت مشکوک است.

داده‌های بازیابی شده توسط مهاجمان، به اطلاعات تجاری محدود می‌شد، از جمله نام شرکت‌ها و جزئیات تماس آنها. گوگل تاکید کرده است که این اطلاعات «تا حد زیادی عمومی» بوده‌اند و حساسیت بالایی نداشته‌اند. با این حال، حتی اطلاعات «عمومی» نیز می‌توانند توسط مهاجمان برای حملات مهندسی اجتماعی هدفمندتر در آینده یا فروش به طرف‌های دیگر مورد سوءاستفاده قرار گیرند. این حادثه، بار دیگر نشان داد که هیچ اطلاعاتی، هر چقدر هم که به نظر کم‌اهمیت برسد، نباید نادیده گرفته شود.

بازیگران تهدید: UNC6040 و ShinyHunters

گوگل در ابتدا، این حملات را به گروهی با کد شناسایی UNC6040 نسبت داد. این گروه به نظر می‌رسد مسئولیت نفوذ اولیه و سرقت داده‌ها را بر عهده داشته است. با این حال، تحقیقات بعدی گوگل نشان داد که گروه دومی نیز به نام UNC6042 درگیر فعالیت‌های اخاذی شده است. این گروه دوم، گاهی «چند ماه پس از» نفوذهای اولیه UNC6040، شروع به اخاذی از قربانیان کرده است. این نشان می‌دهد که ممکن است بین این دو گروه همکاری یا تقسیم کاری وجود داشته باشد، به طوری که یک گروه مسئول دسترسی اولیه و گروه دیگر مسئول بهره‌برداری و کسب درآمد از آن باشد.

گروه UNC6042 خود را تحت نام «ShinyHunters» معرفی کرده است. ShinyHunters به عنوان یک گروه باج‌گیر شناخته می‌شود که پیشینه طولانی در سرقت و افشای داده‌ها برای اهداف مالی دارد. گوگل همچنین هشدار داده است: «علاوه بر این، ما معتقدیم که بازیگران تهدید با نام تجاری ‘ShinyHunters’ ممکن است در حال آماده شدن برای تشدید تاکتیک‌های اخاذی خود با راه‌اندازی یک سایت افشای داده (DLS) باشند.»

یک سایت افشای داده (Data Leak Site) پلتفرمی است که گروه‌های باج‌گیر از آن برای انتشار عمومی داده‌های سرقت شده از قربانیانی که حاضر به پرداخت باج نیستند، استفاده می‌کنند. هدف از این تاکتیک، افزایش فشار بر قربانیان و مجبور کردن آنها به پرداخت وجه برای جلوگیری از آسیب به اعتبارشان است. این روش، به خصوص در مورد نقض‌های مرتبط با Salesforce توسط UNC6040، می‌تواند تاثیر مخربی بر شرکت‌های درگیر داشته باشد، زیرا اطلاعات تجاری و تماس‌ها، حتی اگر «عمومی» باشند، با افشای انبوه می‌توانند به رقبای تجاری یا دیگر مهاجمان کمک کنند.

درس‌هایی برای امنیت سایبری و توصیه‌های پیشگیرانه

با توجه به تعداد بالای شرکت‌هایی که قربانی این کلاهبرداری شده‌اند – از جمله گوگل که با تأخیر دو ماهه این موضوع را فاش کرد – احتمالاً تعداد زیادی نقض اطلاعات دیگر نیز وجود دارد که هنوز از آنها بی‌خبر هستیم. این وضعیت، لزوم هوشیاری حداکثری را برای تمامی شرکت‌ها، به‌ویژه آنهایی که از پلتفرم‌هایی مانند Salesforce استفاده می‌کنند، ایجاب می‌کند. هر شرکت باید سیستم‌های خود را به‌دقت بررسی کند تا مطمئن شود هیچ منبع خارجی ناخواسته‌ای به داده‌های آنها دسترسی ندارد.

اولین و مهم‌ترین گام پیشگیرانه، پیاده‌سازی احراز هویت چندعاملی (MFA) است. MFA یک لایه امنیتی اضافی ایجاد می‌کند که حتی در صورت سرقت نام کاربری و رمز عبور، دسترسی مهاجمان را به حساب‌ها دشوار می‌سازد. علاوه بر این، آموزش مداوم کارکنان در مورد تهدیدات مهندسی اجتماعی امری حیاتی است. کارکنان باید قادر باشند تماس‌ها یا ایمیل‌های مشکوک را شناسایی کرده و هرگونه درخواست غیرمعمول برای دسترسی به سیستم‌ها یا اطلاعات را به تیم امنیتی گزارش دهند. تمرین‌های شبیه‌سازی فیشینگ و حملات مهندسی اجتماعی می‌تواند به افزایش آگاهی و آمادگی کارکنان کمک کند.

همچنین، سازمان‌ها باید به طور منظم، حساب‌های کاربری Salesforce خود را مورد بررسی و ممیزی قرار دهند تا مشخص کنند کدام منابع خارجی به آن دسترسی دارند و آیا این دسترسی‌ها هنوز معتبر و ضروری هستند یا خیر. هرگونه دسترسی مشکوک یا غیرضروری باید بلافاصله قطع شود. این حملات نشان می‌دهد که مهاجمان به طور فزاینده‌ای بر فریب انسانی تمرکز می‌کنند، بنابراین، سرمایه‌گذاری بر روی فناوری‌های امنیتی پیشرفته باید با سرمایه‌گذاری بر روی آموزش و آگاهی‌سازی نیروی انسانی همراه باشد تا یک دفاع جامع و چندلایه ایجاد شود. امنیت سایبری یک تلاش مداوم است و نیازمند سازگاری با تاکتیک‌های در حال تحول مهاجمان است.

منبع مقاله: Ars Technica