کیتهای Phishing-as-a-Service (PhaaS) هر روز یک قدم به سمت حرفهایتر شدن میروند، و تازهترین نمونه آن پلتفرم ارائه دهند کیت فیشینگ Sneaky 2FA است؛ کیتی که حالا با اضافه کردن Browser-in-the-Browser (BitB) میتواند حتی حرفهایها را فریب دهد.
Push Security در گزارشی جدید هشدار داده این قابلیت برای سرقت اطلاعات ورود و نشست (session tokens) حسابهای مایکروسافت استفاده شده است.
BitB چیست و چرا خطرناک است؟
تکنیک Browser-in-the-Browser اولینبار مارس ۲۰۲۲ توسط پژوهشگر mr.d0x معرفی شد. در این روش، مهاجم:
یک پنجرهٔ جعلی مرورگر را با HTML/CSS شبیهسازی میکند
آدرس جعلی اما کاملاً مشابه URL اصلی نمایش میدهد
و یک iframe شامل صفحهٔ فیشینگ داخل آن قرار میدهد
نتیجه؟
کاربر فکر میکند یک پاپآپ رسمی مایکروسافت باز شده، در حالی که تمام صفحه ۱۰۰٪ جعلی است.
Push Security میگوید:
«هدف BitB پنهانسازی URL واقعی و شبیهسازی فرآیند احراز هویت داخل مرورگر است.»
زنجیره حملهای که مشاهده شده: مرحلهبهمرحله
در حملهای که Push Security تحلیل کرده، مسیر مهاجم چنین بوده:
1) کاربر وارد URL مشکوک previewdoc[.]us میشود
– ابتدا یک Cloudflare Turnstile نمایش داده میشود تا ترافیکهای خودکار و ابزارهای امنیتی را فیلتر کند.
2) نمایش صفحه «Sign in with Microsoft» برای مشاهده PDF
کاربر تصور میکند برای دیدن فایل نیاز به احراز هویت دارد.
3) باز شدن پاپآپ جعلی لاگین با تکنیک BitB
این پاپآپ:
ظاهری کاملاً مشابه پنجرهٔ مرورگر دارد
یک آدرس کاملاً معتبر مایکروسافت را تقلید میکند
اما در واقع iframe به سرور مهاجم متصل است
4) سرقت اعتبارنامه و سشن
رمز عبور
توکن جلسه
و حتی اطلاعات مرورگر
همه مستقیماً به مهاجم ارسال میشود.
5) takeover کامل حساب یکپارچهٔ Microsoft
مهاجم بدون نیاز به پسورد یا MFA اضافی میتواند وارد سرویسهای سازمانی شود.
Sneaky 2FA: ویژگیهایی که تحلیل را سخت میکند
این PhaaS که نخستینبار توسط Sekoia شناسایی شد، قابلیتهای شاخصی دارد:
Obfuscation سنگین
غیرفعال کردن DevTools
چرخش سریع دامنهها
استفاده از CAPTCHA و Turnstile
شرطیسازی محتوا (کاربر واقعی را وارد، Crawler را منحرف میکند)
ترکیب BitB با این قابلیتها یعنی مهاجمان کمتجربه هم میتوانند حملات بسیار حرفهای انجام دهند.
تحلیل امنیتی: چرا این حمله خطرناکتر از فیشینگهای معمول است؟
در مدلهای سنتی، URL مشکوک قابل تشخیص بود.
اما در حملات BitB:
❌ URL واقعی در مرورگر دیده نمیشود
❌ مرورگر فکر میکند پاپآپ داخلی عادی است
❌ کاربر حتی با دقت بالا هم تفاوت را متوجه نمیشود
نتیجه؟
معمولترین توصیه امنیتی یعنی “به URL نگاه کنید” ناکارآمد میشود.
حمله جدید علیه Passkeyها: عبور از احراز هویت مقاوم در برابر فیشینگ
در کنار BitB، محققان SquareX حملهای به نام Passkey Pwned Attack معرفی کردهاند که نشان میدهد حتی Passkey هم قابل سوءاستفاده است.
شیوهٔ حمله
یک افزونه مخرب مرورگر:
درخواست WebAuthn (مثل
navigator.credentials.create()) را قبل از ارسال به دستگاه فیزیکی رهگیری میکندیک کلید خصوصی جعلی تولید میکند
نسخهای از کلید را به مهاجم میفرستد
مهاجم بعداً میتواند چالشها را با همان کلید امضا کرده و وارد حساب شود
مشکل اصلی؟
بین مرورگر و دستگاه احراز هویت هیچ کانال امنی وجود ندارد.
حملهی Downgrade علیه Passkey: حتی وقتی Passkey فعال است
کیتهای AitM مانند Tycoon میتوانند کاربر را مجبور کنند:
بهجای Passkey
از روشهای سنتی (پسورد/OTP) استفاده کند
یعنی اگر حتی یک روش ضعیف فعال باشد، کل سیستم قابل فیشینگ میشود.
راهکارهای پیشنهادی
برای کاربران
هرگز به پنجرههای پاپآپ لاگین اعتماد کامل نکنید
افزونهها را فقط از منابع رسمی نصب کنید
در پیامهای غیرمنتظره، لینکها را باز نکنید
هنگام احراز هویت، در صورت شک:
پنجره را ببندید و از سایت اصلی وارد شوید
برای سازمانها
۱) فعالسازی Conditional Access
محدود کردن لاگینها براساس:
IP
Device Trust
Location
Risk Score
۲) محدود کردن افزونههای مرورگر
توصیه جدی برای محیطهای Enterprise.
۳) فعالسازی MFAهای واقعاً مقاوم به فیشینگ
مثل:
FIDO2 با سختافزار اختصاصی
SmartCard
یا Passkeyهای متصل به Secure Element
۴) استفاده از EDR با توانایی تشخیص رفتار مرورگر
۵) آموزش مداوم تیمها درباره BitB و حملات جدید PhaaS
جمعبندی
کیت Sneaky 2FA نمونهای از روند نگرانکنندهای است که در اکوسیستم PhaaS در حال رخ دادن است:
کیفیت حملات فیشینگ به سطحی رسیده که بدون ابزار امنیتی و تحلیل صحیح، حتی متخصصان هم در نگاه اول فریب میخورند.
ترکیب BitB، ضدتحلیل، دامنههای چرخشی و قابلیت سرقت session باعث شده این خانوادهی حملات:
🔹 بسیار واقعیتر
🔹 بسیار خطرناکتر
🔹 و بسیار سختتر برای دفاع
شود.
