توکن دسترسی به برنامه (Application Access Token)

Pawn Storm نام یک گروه جاسوسی فعال و تهاجمی است که از سال 2004 فعالیت می کند. آنها از استراتژی های مختلف برای به دست آوردن اطلاعات از اهداف خود استفاده می کند. یک روش به طور خاص سوء استفاده از احراز هویت باز (OAuth) در طرح های پیشرفته مهندسی اجتماعی بود که کاربران برجسته ایمیل رایگان را بین سال های 2015 و 2016 هدف قرار می داد. این گروه همچنین حملات فیشینگ اعتباری تهاجمی علیه کنوانسیون ملی دموکراتیک (DNC)، اتحادیه دموکرات مسیحی المان (CDU)، پارلمان و دولت ترکیه، پارلمان مونته نگرو، اژانس جهانی ضد دوپینگ (WADA)، الجزیره و بسیاری از سازمان های دیگر را راه اندازی کرد. انها همچنان از چندین برنامه مخرب استفاده می کنند که از توکن های دسترسی OAuth برای دسترسی به حساب های ایمیل هدف، از جمله Gmail و Yahoo Mail سوء استفاده می کنند.

آنچه شما باید بدانید:
با یک توکن دسترسی OAuth، یک هکر می تواند از REST API اعطا شده توسط کاربر برای انجام عملکردهایی مانند جستجوی ایمیل و شمارش مخاطبین استفاده کند. با یک سرویس ایمیل مبتنی بر cloud ، هنگامی که یک توکن دسترسی OAuth به یک برنامه مخرب اعطا می شود، در صورت اعطای یک توکن Refresh که امکان دسترسی پس‌زمینه را فراهم می‌کند، به طور بالقوه می‌تواند به ویژگی‌های حساب کاربری دسترسی طولانی‌مدت داشته باشد.

چگونه حمله اتفاق می افتد:
مهاجمان ممکن است از نشانه های دسترسی به برنامه برای دور زدن فرایند احراز هویت معمولی و دسترسی به حساب ها، اطلاعات یا خدمات محدود در سیستم های از راه دور استفاده کنند. این نشانه ها معمولا از کاربران دزدیده می شوند و به جای اعتبار ورود به سیستم استفاده می شوند.

جایی که حمله از آن می آید:
در Application Access Token ممکن است به عنوان یک گام اولیه برای به خطر انداختن سایر خدمات استفاده شود. به عنوان مثال، اگر یک توکن دسترسی به ایمیل اصلی قربانی را اعطا کند، مهاجم ممکن است بتواند دسترسی به تمام سرویس های دیگر را که هدف مشترک آن است، با ایجاد روال رمز عبور فراموش شده گسترش دهد. دسترسی مستقیم API از طریق یک توکن اثربخشی عامل احراز هویت دوم را نفی می کند و ممکن است از اقدامات متقابل مانند تغییر رمزهای عبور مصون باشد.

references:

https://www.splunk.com