تعرضت شركة Fortress Trust للعملات الرقمية، التي تم شراؤها مؤخرا من قبل شركة الريبل العملاقة للبلوكتشين، لهجوم إلكتروني ضخم أدى إلى سرقة 15 مليون دولار من العملات الرقمية في 27 أغسطس 2023.
وفقا لتقارير الإعلام، استغل المتسللون ثغرة أمنية في تطبيق Google Authenticator، وهو تطبيق يستخدم لإثبات الهوية عبر الإنترنت.
استغلال نظام المصادقة متعددة العوامل
Google Authenticator هو تطبيق شائع يستخدمه الكثير من الأشخاص لحماية حساباتهم على الإنترنت.
يعمل التطبيق عن طريق إنشاء رمز مؤقت (OTP) يظهر على شاشة الهاتف، والذي يجب إدخاله عند تسجيل الدخول إلى حساب ما.
وبهذه الطريقة، يصبح من الصعب على أي شخص آخر الوصول إلى الحساب دون امتلاك الهاتف. ولكن في أبريل 2023، أضافت Google ميزة جديدة إلى تطبيقها، تسمى المزامنة السحابية.
تسمح هذه الميزة للمستخدمين بمزامنة بيانات التطبيق مع حساب Google الخاص بهم، بحيث يمكنهم استعادة رموز OTP في حال فقدان هواتفهم أو تغييرها.
ومع ذلك، فإن هذه الميزة قد تحولت إلى نقطة ضعف كبيرة في نظام الأمان.
وفقا لشركة Retool، وهي شركة تطوير برمجيات، فإن المزامنة السحابية تجعل من الممكن لأحد المتسللين الذي يستولي على حساب Google لضحية ما، أن يستولي أيضا على بيانات Google Authenticator.
وبالتالي، يمكن للمتسلل أن يولد رموز OTP خاصة به، والتي يستخدمها لتجاوز نظام المصادقة متعددة العوامل (MFA)، والذي يفترض أن يكون طبقة إضافية من الحماية.
هجوم التصيد الاحتيالي المستهدف
استطاع المتسللون اختراق حساب Google للضحية باستخدام التصيد الاحتيالي، وهي تقنية تستخدم لخداع الناس وإقناعهم بمشاركة معلومات حساسة، مثل كلمات المرور أو أرقام البطاقات الائتمانية.
في هذه الحالة، استخدم المتسللون تقنية متطورة تسمى الهندسة الاجتماعية، والتي تعتمد على التلاعب بالعواطف والثقة للحصول على ما يريدون.
وفقا لشركة Fortress Trust، بدأ المتسللون هجومهم بإرسال رسائل نصية قصيرة (SMS) إلى بعض موظفي الشركة، مدعين أنهم من فريق تكنولوجيا المعلومات (IT) للشركة.
وأخبروهم أن هناك مشكلة في نظام الرواتب، وطلبوا منهم اتباع رابط يبدو شرعيا.
عند النقر على الرابط، يتم توجيه المستخدمين إلى صفحة ويب مزيفة، تشبه صفحة تسجيل الدخول إلى حساب Okta، وهو خدمة تستخدمها Fortress Trust لإدارة حسابات الموظفين.
عند إدخال بيانات اعتمادهم في الصفحة المزيفة، يتم اختطافها من قبل المتسللين، الذين يستخدمونها لتسجيل الدخول إلى حساب Okta الحقيقي للضحية.
ولكن هذا ليس كل شيء. بعد ذلك، يتصل المتسللون بالضحية مرة أخرى عبر الهاتف، باستخدام تقنية التزييف العميق (deepfake) لتغيير صوتهم وجعله يبدو وكأنه صوت أحد زملائهم في فريق IT.
وبهذه الطريقة، يثنون على التعاون معهم، ويطلبون منه أن يقول لهم رمز OTP الذي يظهر على شاشة هاتفه.
هذا هو رمز Google Authenticator، الذي يحتاجه المتسللون لإضافة جهاز خاص بهم إلى حساب Okta للضحية. وبالتالي، يصبح لديهم القدرة على إنشاء رموز OTP خاصة بهم في أي وقت.
سرقة العملات الرقمية
بعد أن اكتسب المتسللون السيطرة على حساب Okta لضحية ما، استطاعوا الوصول إلى جميع التطبيقات التي تستخدم هذه الخدمة كطبقة أمان.
وكان من بين هذه التطبيقات Fortress Trust، وهي شركة تخزين وإدارة العملات الرقمية.
باستخدام رموز OTP التي أنشأوها بأنفسهم، تجاوز المتسللون نظام الحماية لـ Fortress Trust، والذي كان يستخدم Google Authenticator.
