حمله فیشینگ یکی از وکتورهای قدیمی، رایج و در اکثر مواقع موفق حملات سایبری است. حمله فیشینگ بر پایه ضعفهای عامل انسانی است، در این مورد هیچ کسی حتی متخصصان امنیت سایبری هم مصون نیستند.
وقتی فردی به شدت دچار پرواززدگی و خستگی باشد و ذهنش کندتر از حالت عادی کار کند، احتمال خطا افزایش مییابد. دقیقاً چنین شرایطی باعث شد که تروی هانت، متخصص امنیت سایبری و صاحب have i been pwned?، متوجه شود اطلاعات کاربریاش توسط حملهای فیشینگ به Mailchimp به سرقت رفته، فرد مهاجم وارد حسابش شده و فهرست ایمیلهای مشترکین وبلاگش را استخراج کرده است. وی تصمیم گرفت اطلاعیهای را منتشر کند تا در سریعترین زمان ممکن مشترکان آسیبدیده مطلع شوند و همچنین توضیح دهد که چه اتفاقی افتاده است.
صبح روزی که تروی هانت در لندن از خواب بیدار شد، متوجه اتفاق مشکوکی شد. او وارد سایتی با دامنه mailchimp-sso.com شد، اطلاعات ورود خود را وارد کرد—که برخلاف همیشه، به صورت خودکار توسط 1Password تکمیل نشد و متاسفانه این اطلاعات را دستی وارد کرد—و سپس کد تأیید را نیز وارد کرد. صفحه متوقف شد و چند لحظه بعد، متوجه شد که در دام فیشینگ افتاده است. او سریعاً وارد وبسایت رسمی Mailchimp شد و ایمیلی از طرف این پلتفرم دریافت کرد که ورود از طریق آیپی لندن را تأیید میکرد.
او فورا رمز عبور را تغییر داد، اما نه قبل از آنکه مهاجم فهرست مشترکان را دریافت کند. او ایمیلی از Mailchimp دریافت کرد که نشان میداد فهرست ایمیلها از طریق آیپی نیویورک صادر شده است. دقایقی بعد نیز هشدار ورود از همان آیپی ارسال شد. این حمله کاملاً خودکار و بهگونهای طراحی شده بود که در سریعترین زمان ممکن فهرست اطلاعات را پیش از هر اقدامی از سوی قربانی، استخراج کند.
در فایل استخراجشده، حدود ۱۶ هزار رکورد اطلاعات وجود دارد که شامل دادههایی است که Mailchimp بهطور خودکار جمعآوری میکند. هر مشترک فعال ایمیلی دریافت کرده که این حمله را اطلاعرسانی میکند. متأسفانه اطلاعات کسانی که اشتراک خود را لغو کردهاند نیز در این خروجی وجود دارد ( چرا Mailchimp این اطلاعات را نگه میدارد؟) که نیازمند بررسی و اقدام جداگانه است. هانت با Mailchimp تماس گرفته، اما هنوز پاسخی دریافت نکرده است و وعده داده در صورت دریافت، اطلاعات را بهروزرسانی خواهد کرد.
تروی هانت از خود بابت افتادن در دام این حمله بسیار ناراحت است و از تمام افرادی که تحتتأثیر قرار گرفتهاند، عذرخواهی کرده است. همچنین از آنها خواسته مراقب اسپم و حملات فیشینگ بیشتر باشند. جالب آنکه او برای دیدار با نهادهای دولتی به لندن سفر کرده و روز گذشته با مرکز ملی امنیت سایبری بریتانیا (NCSC) درباره ترویج استفاده از کلیدهای عبور (passkeys) صحبت کرده بود—فناوریای که در برابر فیشینگ مقاوم است.
وی پیش از این، تعداد بیشماری ایمیل فیشینگ مشابه دریافت کرده و آنها را سریع تشخیص داده بود. تفاوت این مورد در خستگی شدیدش بود که تمرکز و دقت کافی را از او گرفته بود. حمله دقیقاً زمانی انجام شده بود که او در ضعیفترین وضعیت ذهنیاش قرار داشت.
این فیشینگ بهخوبی طراحی شده بود. حمله از طریق مهندسی اجتماعی فرد را متقاعد کرده بود که اگر اقدام نکند، نمیتواند خبرنامه خود را ارسال کند؛ نه آنقدر تهدیدآمیز بود که باعث وحشت شود و نه آنقدر ساده که نادیده گرفته شود—درست بهاندازهای که احساس فوریت ایجاد کند.
نشانهای که میتوانست از وقوع فاجعه جلوگیری کند، پر نشدن خودکار اطلاعات ورود توسط 1Password بود. اما چون بسیاری از خدمات از دامنههایی متفاوت برای ورود استفاده میکنند، این موضوع به چشم نیامد. برای مثال، او در حساب Qantas نیز تجربه مشابهی دارد.
نکته مهم دیگر مربوط به نگهداری ایمیلهای لغو اشتراکشده توسط Mailchimp است. در این لیست، ۷٬۵۳۵ ایمیل از کسانی بودند که دیگر مشترک خبرنامه نبودند—تقریباً نیمی از کل لیست استخراجشده. او تصمیم دارد بررسی کند که آیا امکان حذف خودکار این ایمیلها از طریق تنظیمات وجود دارد یا خیر.
در پایان، تروی هانت ضمن عذرخواهی مجدد از تمام کاربران تحت تاثیر این حمله، تأکید کرد که به اشتراک گذاشتن این اتفاق، بهرغم ناخوشایند بودن، میتواند به ارتقاء آگاهی و امنیت جمعی کمک کند. وی از مخاطبان خواست تجربههای اینچنینی را با دیگران به اشتراک بگذارند.
منبع: https://www.troyhunt.com/a-sneaky-phish-just-grabbed-my-mailchimp-mailing-list/
