x

Blog

سرویس‌های دولتی کانادا، تحت‌تأثیر حملات گسترده سایبری

خلاصه: در یک حمله هماهنگ، وب‌سایت‌های مهم دولت کانادا که خدمات مهم مهاجرتی، مالیاتی، دریافت حقوق بازنشستگی و مزایا را ارائه می‌دهند، مورد نفوذ و سرقت قرار گرفتند. این سایت‌ها از پورتال آنلاینی که به آن GCKey گفته می‌شود، استفاده می‌کردند. در این پورتال، سیستم احراز اصالت شناسایی یگانه یا Single Sign-On (با مخفف SSO) به کار گرفته شده است.

در طول هفته گذشته، دفتر اصلی دولت كانادا بیانیه‌ای را منتشر كرد كه در آن به مردم توصیه شد،‌ اگر تجربه‌ای در مورد حمله سایبری به سیستم GCKey دارند آن را بازگو کنند.

با استفاده از تکنیک «انباشتن گواهی» یا Credential stuffing، مهاجمان موفق شدند تا به حدوداً 9،041 حساب GCKey از کل 12 میلیون حساب نفوذ پیدا کنند. قابل ذکر است که این تکنیک یکی از انواع حملات سایبری است که مهاجمین در آن با استفاده از گواهی‌های از قبل دزدیده‌شده (که شامل نام کاربری، ایمیل و رمزعبور هستند)، و همچنین ابزارهای خودکار تلاش می‌کنند تا شانسی برای دسترسی غیرمجاز به حساب‌های قربانیان پیدا کنند.

این یکی از دلایلی است که متخصصان امنیتی به شدت کاربران را از استفاده از یک ترکیب یکسان نام کاربری-رمز عبور در وب‌سایت‌های مختلف منع می‌کنند. چرا که اگر یکی از این وب‌سایت‌ها به خطر افتاد، مهاجمان می‌توانند با کمک گواهی‌های فاش‌شده به سایر وب‌سایت‌ها نیز نفوذ کنند.

گزارش شده است که به محض کشف این تهدید، با کاربرانی گواهی حساب آن‌ها منقضی شده بود تماس گرفته شده تا  GCKey جدید دریافت کنند.

پورتال GCKey با تحت پوشش قرار دادن بیشتر از 30 بخش از فدرال، همچنین به عنوان یک مسیر جایگزین برای دسترسی به سیستم‌های مربوط به سازمان آژانس درآمد کانادا (CRA) فعالیت می‌کند. با توجه به بیانیۀ دفتر اصلی کانادا، تقریباً 5،500 حساب CRA در این حمله  به پورتال GCKey موردهدف قرارگرفته‌اند.

نبود احراز هویت چندعاملی (MFA)

کسانی که وب‌سایت‌های دولت کانادا را مکرر دنبال می‌کنند، با بسیاری از راه‌های ورود به سیستم آشنا هستند. به عنوان مثال، سرویس My Service Canada امکان دسترسی به حساب را از طریق GCKey، بانک یا حساب‌های استانی فراهم می‌کند.

Canadian government services allowing multiple sign-in routes

به طور مشابه، آژانس درآمد کانادا (CRA) برای ورود به حساب، دو روش پورتال GCKey یا حساب‌های CRA را درنظر گرفته است.

به نظر می‌رسد که پورتال GCKey برای دستیابی به برخی از بخش‌ها مانند CRA یا IRCC، احراز اصالت چندعاملی را فعال نکرده است. هنگامی که کاربر  با یک رایانه جدید وارد سیستم می‌شود، این پورتال از کاربر می‌خواهد یک سؤال امنیتی (به عنوان مثال نام حیوان خانگی) را پاسخ دهد. در بحث احراز اصالت چند عاملی، نام کاربری، گذرواژه و سؤالات امنیتی همگی، یک عامل به حساب می‌آیند که آن را عامل «چیزهایی که شما می‌دانید» می‌‌نامیم. بنابراین پرسیدن سوال امنیتی را نباید به اشتباه احراز اصالت چندعاملی دانست. با این توضیح در این پورتال برای بخش‌های ذکر شده، هیچ مکانیسمی وجود ندارد که کاربر را به ایجاد کد 2FA (مثلاً از طریق پیامک) تشویق کند.

قابل ذکر است که در این وب‌سایت‌ها هیچ کپچایی نیز مشاهده نکردیم که این امر می‌تواند باعث شود كه ربات‌ها بتوانند حمله انباشتن گواهی را به‌صورت کاملاً خودکار انجام دهند.

GCKey Sign in workflow

سرقت صندوق‌های امدادی COVID-19

به دلیل عدم وجود احراز هویت چندعاملی، مهاجمی که بتواند به حساب GCKey یا CRA افراد نفوذ کند می‌تواند معاملات حساس دولتی را نیز دستکاری کند. اخیراً، به عنوان بخشی از تلاش‌های امدادی کروناویروس در سراسر کانادا، سازمان CERB توسط دولت گمارده شده است. این مزایا برای واجدان شرایط سودی بالغ بر 2،000 دلار داشت. همان‌طور که در وب‌سایت CERB مشاهده می‌شود، می‌توان از طریق حساب " My Service Canada" به گونه‌ای به سؤالات غربالگری پاسخ داد که به سیستم دسترسی پیدا کرد. در این مورد شکایات متعددی از شهروندان کانادایی در مورد دسترسی غیرمجاز و نفوذ به پرداخت‌های CERB گزارش شده است. در نهایت به کاربران این حساب‌ها توصیه شده است که تغییر رمزهای عبور خود را به عنوان یک اقدام ایمنی در نظر بگیرند.

 

همواره در نظر داشته باشید که در حالی که مسیرهای دسترسی متعدد موجب راحتی می‌شوند، اما فضایی بیشتری هم برای حملات سایبری فراهم می‌کنند. ضعیف‌ترین حلقه از یک زنجیره همواره امنیت کل زنجیره را تحت شعاع قرار می‌دهد و می‌تواند پیامدهای ویرانگری برای کل مجموعه داشته باشد.

 

    

 

Persian English French German Russian Spanish
کلیه حقوق این سایت متعلق به مرکز تخصصی آپا دانشگاه صنعتی اصفهان می‌باشد. استفاده از مطالب تنها در صورت دریافت تاییدیه کتبی مجاز است.

تحت نظارت وف ایرانی