پایان عصر احراز هویت چندمرحله‌ای سنتی؛ هک گوگل، AMD و سونی با یک تماس تلفنی!

در چشم‌انداز تهدیدات سایبری سال 2026 دیگر خبری از اکسپلویت‌های پیچیده و بدافزارهای چندلایه نیست. امروزه مسائل به ظاهر پیش‌پاافتاده‌ای مانند یک تماس تلفنی فریبنده و اعتماد بیجا به یک کارمند ساده می‌تواند حتی غول‌های فناوری را به زانو درآورد! درست مانند اتفاقی که برای گوگل، AMD، سونی و چند شرکت نام‌آشنای دیگر افتاده است! این اتفاق بار دیگر پایان عصر روش‌های سنتی و لزوم استفاده از خدمات امنیت شبکه مدرن را به مدیران شبکه گوشزد می‌کند. با فالنیک (ایران اچ پی) همراه باشید.

باز هم پای ShinyHunters در میان است!

گروه هکری بدنام ShinyHunters بار دیگر قواعد بازی را تغییر داده است. این گروه که پیش‌تر با نشت پایگاه‌های داده عظیم شهرت داشت، اکنون تمرکز خود را بر روی «شکار هویت‌های دیجیتال» و سوءاستفاده از زیرساخت‌های ابری و سرویس‌های SaaS (نرم‌افزار به‌عنوان سرویس) معطوف کرده است . گزارش‌های اخیر حاکی از آن است که این گروه نه از طریق نفوذ مستقیم به سرورها، بلکه با بهره‌گیری از روش‌های پیشرفته مهندسی اجتماعی و تماس‌های تلفنی (Vishing) موفق به دسترسی به حساس‌ترین اطلاعات شرکت‌هایی چون گوگل، AMD، سونی، LastPass و حتی سرویس‌دهنده ابری Snowflake شده است.

تغییر پارادایم: از هک سرور تا فریب کارمند

روش عملیات جدید ShinyHunters که توسط تیم اطلاعات تهدید گوگل (GTIG) ردیابی می‌شود (با شناسه UNC6661)، زنگ خطری جدی برای بخش امنیت شبکه شرکت‌ها به صدا درآورده است. مهاجمان با جعل هویت کارشناسان پشتیبانی IT با قربانیان تماس گرفته و با ادبیات فنی و لحن اضطراری آنها را متقاعد می‌کنند که برای «رفع یک باگ امنیتی» یا «به‌روزرسانی سیستم»، رمز عبور یک‌بار مصرف (OTP) یا تأییدیه MFA را در صفحه‌ای جعلی وارد کنند.

این روش که «حمله همزمان» یا Real-time Phishing نام دارد، مکانیزم‌های سنتی احراز هویت چندمرحله‌ای را کاملاً بی‌اثر می‌کند. در لحظه‌ای که کاربر کد MFA را وارد می‌کند، هکرها از آن استفاده کرده و بلافاصله Session خود را در سیستم اصلی آغاز می‌کنند و حتی یک دستگاه مجاز جدید را به حساب کاربری قربانی متصل می‌کنند. به این ترتیب هویت دیجیتال کاربر به جای یک درگاه امن به یک پل پشت‌صحنه برای ورود مهاجمان تبدیل می‌شود.

این تغییر رویکرد ماهیت انواع تهدیدات سایبری مدرن را آشکار می‌سازد. در چنین حملاتی دیگر نیازی به یافتن حفره در فایروال یا سرور نیست؛ «ضعیف‌ترین حلقه امنیت»، یعنی انسان، به ساده‌ترین هدف تبدیل می‌شود.

Salesforce؛ دروازه ورود به قلب زیرساخت‌ها

تحلیل حملات گسترده اخیر نشان می‌دهد که سرویس Salesforce Experience Cloud به‌عنوان نقطه کانونی این نفوذها عمل کرده است. نکته هشداردهنده این است که مهاجمان از یک آسیب‌پذیری امنیتی ذاتی در نرم‌افزار استفاده نکرده‌اند، بلکه از «تنظیمات اشتباه» (Misconfiguration) در پروفایل‌های کاربر مهمان (Guest User) سوءاستفاده کرده‌اند.

در بسیاری از پیاده‌سازی‌ها، مدیران IT دسترسی‌های وسیع‌تری به پروفایل مهمان اختصاص داده‌اند که امکان مشاهده داده‌های حیاتی بدون نیاز به ورود به سیستم را فراهم می‌کرده است. ShinyHunters با استفاده از نسخه اصلاح‌شده ابزار AuraInspector که توسط Mandiant توسعه یافته، به راحتی این روزنه‌ها را اسکن کرده و حجم عظیمی از داده‌ها، حتی از شرکت Salesforce به عنوان قربانی استخراج کرده است.

این حادثه نشان داد که امنیت یک سازمان دیگر تنها به حصارهای دیجیتال شرکت وابسته نیست، بلکه به شدت به پیکربندی صحیح سرویس‌های ابری شخص ثالث و زنجیره تأمین دیجیتال گره خورده است. حتی غولی مانند گوگل که معماری امنیتی پیچیده‌ای دارد، به دلیل نفوذ به محیط Salesforce خود (که برای مدیریت بخشی از فرآیند تبلیغات استفاده می‌شد) دچار نقض داده شد.

گستره فاجعه: از GTA 6 تا اطلاعات دانشجویان

فهرست قربانیان این عملیات فراتر از شرکت‌های نرم‌افزاری است. طبق ادعای منتشر شده توسط خود این گروه هکری، صدها وب‌سایت و ده‌ها شرکت بزرگ شامل Okta و AMD، Sony، LastPass مورد هدف قرار گرفته‌اند. در صنعت بازی‌سازی شرکت Rockstar Games که هنوز خاطره نشت عظیم اطلاعات بازی GTA VI را فراموش نکرده، بار دیگر در لیست قربانیان قرار گرفته است. هک گوگل، AMD و سونی بیش از بقیه سروصدا به پا کرده است!

اما نگران‌کننده‌ترین بخش این ماجرا نفوذ به زیرساخت شرکت Instructure، مالک پلتفرم آموزشی محبوب Canvas است. هکرها مدعی شده‌اند که به اطلاعات حدود 8900 مدرسه و دانشگاه دسترسی پیدا کرده‌اند که داده‌های شخصی میلیون‌ها دانشجو را در بر می‌گیرد. هرچند Instructure اعلام کرده که با هکرها به توافق رسیده، اما این اتفاق یک بار دیگر آسیب‌پذیری موسسات آموزشی و تمرکز داده‌های حساس در پلتفرم‌های متمرکز را ثابت کرد .

برای کسب‌وکارها و سازمان‌ها این حملات پیام روشنی دارد: عصر اتکای صرف به فایروال‌های پیشرفته و نرم‌افزارهای آنتی‌ویروس به پایان رسیده است. در دنیایی که هویت، مرز جدید شبکه است، رمز بقا در درک این حقیقت نهفته است که «حمله‌کنندگان به دنبال هک کردن کدها نیستند؛ آنها به دنبال هک کردن انسان‌ها هستند.»

نتیجه‌گیری و توصیه‌های امنیتی

این اتفاق یک اخطار جدی برای همه سازمان‌هاست. سرمایه‌گذاری میلیارد تومانی روی تجهیزات سخت‌افزاری امنیت شبکه، اگر با فرهنگ‌سازی مناسب و بازتعریف فرآیندهای تأیید هویت همراه نباشد، بی‌نتیجه خواهد ماند.

توصیه کارشناسان امنیت سایبری فالنیک به شرکت‌ها موارد زیر است:

1. گذار به احراز هویت مقاوم در برابر فیشینگ: به جای استفاده از پیامک یا برنامه‌های احراز هویت معمولی، از پروتکل‌های پیشرفته‌تری مانند FIDO2 یا کلیدهای امنیتی فیزیکی (Physical Keys) استفاده کنید که در برابر حملات همزمان مقاوم هستند.
2. بازنگری در تنظیمات سرویس‌های ابری (SaaS): دسترسی‌های پروفایل مهمان (Guest Users) در پلتفرم‌هایی مانند Salesforce را به حداقل برسانید و اصل کمترین دسترسی (Least Privilege) را به دقت اعمال کنید.
3. شبیه‌سازی حملات مهندسی اجتماعی: کارکنان خود را صرفاً با ایمیل‌های فیشینگ آزمایش نکنید. سناریوهای تماس تلفنی (Vishing) را نیز شبیه‌سازی کنید تا هوشیاری تیم در برابر ترفندهای جدید افزایش یابد.
4. نظارت بر رفتار هویت‌ها (Identity Analytics): رفتار کاربران را در شبکه و سرویس‌های ابری مانیتور کنید. ورود ناگهانی از مکان‌های غیرعادی یا ثبت دستگاه جدید بلافاصله پس از تأیید هویت باید به عنوان یک هشدار سطح بالا در نظر گرفته شود.