در دسترس قرار گرفتن پایگاه گواهی‌نامه‌های Zoom در وب تاریک

پژوهش‌گران پایگاهی از گواهی‌نامه‌های ویدئو کنفرانس Zoom را کشف کردند که شامل ایمیل‌ها و گذرواژه‌ها و شناسه‌های جلسات و نام و کلیدهای میزبان است. گواهی‌نامه‌های کامل ممکن است در فعالیت‌های مختلف از zoombombing گرفته تا حملات BEC مورد استفاده قرار گیرند.

این پایگاه داده توسط IntSights در وب تاریک کشف شد. این یک پایگاه داده‌ی بزرگ نیست و تنها دارای ۲٬۳۰۰ رکورد است و کوچک‌تر از آن است که یک افشای داده محسوب شود، اما برای نمایش مجموعه‌ی تصادفی از اطلاعات کشف‌شده به‌صورت آنلاین بسیار بزرگ است. با این وجود، حالت دوم محتمل‌تر است، زیرا کاربران Zoom نسبت به محافظت از اطلاعات بسیار سهل‌انگار هستند.

در ۲۷ ماه مارس سال ۲۰۲۰ میلادی، نخست‌وزیر انگلیس، بوریس جاانسون بیان کرد که اولین جلسه‌ی Cabinet دیجیتال دولت انگلیس را برگزار کرده است. تصویری که وی از صفحه نمایش خود منتشر کرد، شناسه‌ی جلسه‌ی Zoom را نشان داد. جانسون احتمالاً فکر می‌کرد که نمایش این شناسه بی‌خطر است، زیرا جلسه به پایان رسیده بود، اما این شناسه مخصوص همان جلسه نبود بلکه متعلق به همه‌ی جلساتی است که توسط صاحب حساب برگزار می‌شود.

افزودن این شناسه به یک آدرس اینترنتی که معمولاً به‌راحتی قابل حدس است، اولین قدم برای دسترسی به همه‌ی جلسات ویدئو کنفرانس برگزارشده توسط آن حساب است. می‌توان امیدوار بود که NCSC از آقای جانسون درخواست کرده است تا این حساب را حذف کند و یک حساب جدید با یک شناسه‌ی متفاوت ایجاد کند.

بااین‌حال، داشتن این اطلاعات به‌سادگی امکان zoombombing را در یک کنفرانس فراهم می‌کند. دسترسی به یک شناسه و گذرواژه به یک مهاجم اجازه می‌دهد تا حساب باز کند و یک جلسه‌ی ویدئو کنفرانس جدید با نام صاحب حساب آغاز کند که این مسأله خطرات بسیاری ایجاد می‌کند.

در برخی موارد، این پایگاه داده‌ی کشف‌شده توسط InSights شامل بخشی از اطلاعات است، در موارد دیگر شامل مجموعه‌ی کاملی از اطلاعات ازجمله PIN code همه‌ی جلسات باز است. مهاجم با دسترسی به آدرس اینترنتی، این شناسه و PIN code می‌تواند وارد یک ویدئو کنفرانس شود و کنترل آن را به دست گیرد و حتی شرکت‌کنندگان در جلسه را حذف کند. این گواهی‌نامه‌های موجود در پایگاه داده شامل اطلاعات شخصی، حساب‌های شرکتی بانک‌ها، شرکت‌های مشاوره، امکانات آموزشی، ارائه‌دهندگان خدمات بهداشتی و شرکت‌های نرم‌افزاری هستند.

دسترسی به شناسه و گذرواژه‌ی حساب‌های Zoom یک روش جمع‌آوری اطلاعات به نام credential stuffing را نشان می‌دهد که شامل تعداد زیادی آدرس ایمیل و گذرواژه‌ی موجود در وب تاریک و روش معمول استفاده‌ی مجدد از گذرواژه‌ها در حساب‌های متعدد است. یک پویش credential stuffing ممکن است برای ورود اولیه به حساب‌های Zoom مورد استفاده قرار گیرد.

مدیر ارشد استراتژی IntSights بیان کرد که بحث‌هایی که پس از افشای این پایگاه داده در وب تاریک مطرح شد، مربوط به نحوه‌ی انجام حملات خودکار علیه Zoom بود. در واقع چیزی که اتفاق می‌افتد، استفاده از Zoom checkerها است. یک checker نوعی  جعل کارت بانکی است که در آن یک پرداخت میکرو علیه گواهی‌نامه‌های کارت سرقت‌شده انجام می‌شود تا بررسی شود که آیا حساب مربوط به آن فعال و معتبر است یا خیر؟ به نظر می‌رسد که آن‌ها در حال ساخت ابزارهای مختلف برای بررسی و خودکارسازی فرآیند کشف حساب‌های معتبر مربوط به نام‌های کاربری و گذرواژه‌ها هستند.

تهدید بالقوه zoombombing ساده نیست. در صورتی که مهاجم تعداد زیادی حساب داشته باشد، یک بخش از OSINT در آدرس ایمیل می‌تواند مکان هر یک از صاحبان حساب با موجودی بالا مانند مدیرعامل‌ها را پیدا کند. لینکدین نیز می‌تواند مکان مدیر مالی شرکت را پیدا کند و مهاجم می‌تواند با استفاده از همان ساختار آدرس ایمیل مدیرعامل، آدرس ایمیل مدیر مالی شرکت را حدس بزند.

مهاجم با دسترسی به حساب Zoom مدیرعامل، می‌تواند به مدیر مالی شرکت ایمیل بزند و بگوید که می‌خواهد با او در Zoom صحبت کند. این یک مهندسی اجتماعی استاندارد است که مجرمان صدا را نویزدار و تصویر ویدئویی را تار می‌کنند. درحال‌حاضر این به یک فرصت BEC جدید تبدیل شده است. از دست دادن گواهی‌نامه‌های Zoom تنها ویدئوکنفرانس‌های کاربران را در معرض ایجاد مزاحمت قرار نمی‌دهد بلکه در حین انجام کار از خانه شرکت را در معرض تهدید یک بردار تهدید BEC جدید قرار می‌دهد.

منبع

پست‌های مشابه

Leave a Comment