أدوات اختراق متطورة تستهدف سرقة بيانات الدخول، تشكل تهديداً متزايداً للمؤسسات، خاصة التعليمية، حيث تمكن المخترقين من تجاوز إجراءات المصادقة متعددة العوامل (MFA) بنجاح. تُعرف هذه الأدوات باسم Evilginx، وهي تتيح شن حملات هجومية تعرف بـ “المهاجم في المنتصف” (AiTM) بكفاءة عالية.
تعتمد هذه التقنية على سرقة ملفات تعريف الارتباط الخاصة بالجلسة، مما يسمح للمهاجمين بالوصول إلى الحسابات دون الحاجة إلى بيانات تسجيل الدخول التقليدية أو رموز المصادقة. شهدت الأشهر الأخيرة زيادة ملحوظة في استهداف المؤسسات التعليمية بهذه الأساليب.
تكمن خطورة Evilginx في قدرتها على الاستيلاء على جلسة المستخدم المصادق عليها، مما يعني أن آلية المصادقة متعددة العوامل تفقد فعاليتها بعد تسجيل الدخول الأولي. تعمل هذه الأداة كوكيل شفاف يقع بين المستخدم والموقع الإلكتروني الشرعي.
عندما ينقر المستخدم على رابط خبيث مصمم خصيصاً، يتم توجيهه إلى صفحة تصيد احتيالي تحاكي تماماً الموقع الأصلي. هذا التمويه يحول دون اكتشاف الخلل الأمني من قبل المستخدم.
Evilginx: أداة المهاجم في المنتصف وخطر سرقة ملفات تعريف الارتباط
يقوم هذا الإعداد الخبيث بمعالجة عملية تسجيل الدخول الأصلية، ويلتقط اسم المستخدم وكلمة المرور للضحية في الوقت الفعلي. الأهم من ذلك، بمجرد أن يتحقق المستخدم من هويته باستخدام رمز MFA، تقوم الأداة باعتراض ملف تعريف ارتباط الجلسة الذي يصدره النظام للتعرف على المتصفح والثقة به خلال الجلسة الجارية.
تعد عواقب سرقة ملف تعريف الارتباط هذه خطيرة للغاية. من خلال إعادة استخدام ملف تعريف الارتباط المسروق، يمكن للمهاجم انتحال شخصية المستخدم المصادق عليه بسلاسة، دون الحاجة إلى تقديم بيانات الاعتماد أو رمز MFA مرة أخرى.
وقد حدد باحثو Malwarebytes الأمنيون أن هذا يمنح المتسلل وصولاً غير مقيد إلى الحساب المخترق. يتيح ذلك لهم قراءة رسائل البريد الإلكتروني السرية، أو تعديل الإعدادات الأمنية الهامة، أو استخراج بيانات شخصية ومالية حساسة.
تدفق هجوم خبيث ومتخفي
يعود نجاح هجمات Evilginx إلى طبيعتها المخادعة العميقة. فصفحات التصيد الاحتيالي التي يتحكم بها المهاجم ليست مجرد نسخ زائفة ثابتة؛ بل هي وكلاء نشطون يقدمون المحتوى الحي للموقع الحقيقي، وغالباً ما تكون مزودة بشهادة أمان TLS صالحة.
تُبطل هذه الحيلة الإرشادات الأمنية الشائعة، مثل التحقق من رمز القفل في المتصفح. هذا يجعل المستخدم يشعر بالأمان الزائف.
ولزيادة التملص من الكشف، يقوم المهاجمون غالباً بنشر روابط تصيد احتيالي ذات عمر افتراضي قصير جداً، مما يضمن اختفاءها قبل أن يتم تسجيلها في قوائم الحظر الأمنية. هذا يضع عبئاً كبيراً على وعي المستخدمين للكشف عن الفخ الأولي.