۶ سناریوی حملهی Browser-Based که امنیت سازمانها را در ۲۰۲۵ به چالش میکشد
تیمهای امنیتی باید چه نکاتی را دربارهی تکنیکهای حملهی مبتنی بر مرورگر که عامل اصلی نقضهای امنیتی در سال ۲۰۲۵ هستند، بدانند؟
«مرورگر میدان نبرد جدید است.»
«مرورگر نقطهی پایانی جدید است.»
اینها جملاتی هستند که بارها و بارها هنگام مطالعهی مقالات در وبسایتهایی مشابه این با آنها مواجه میشوید. اما این عبارات از منظر امنیتی دقیقاً چه معنایی دارند؟
در این مقاله بررسی خواهیم کرد که تیمهای امنیتی تلاش میکنند مانع از چه اقداماتی توسط مهاجمان در مرورگر شوند، تعریف دقیقی از «حملهی مبتنی بر مرورگر» ارائه دهیم، و همچنین الزامات تشخیص و واکنش مؤثر در برابر این نوع حملات را توضیح دهیم.
هدف یک حملهی مبتنی بر مرورگر چیست؟
پیش از هر چیز، باید روشن شود که هدف اصلی حملهی مبتنی بر مرورگر چیست.
در بیشتر سناریوها، مهاجمان مرورگر شما را بهعنوان هدف مستقیم خود نمیبینند. هدف نهایی آنها نفوذ به اپلیکیشنها و دادههای سازمانی است. این موضوع به معنای حمله به سرویسها و اپلیکیشنهای شخص ثالثی است که امروز ستون فقرات فناوری اطلاعات کسبوکارها محسوب میشوند ــ و در نتیجه به اصلیترین اهداف مهاجمان تبدیل شدهاند.
مسیر حملهی رایج در حال حاضر به این شکل است: مهاجم وارد سرویسهای شخص ثالث میشود، دادهها را استخراج میکند و سپس از طریق باجگیری (Extortion) آنها را به منبع درآمد تبدیل میکند.
برای درک تأثیر چنین حملاتی، کافی است به نقض دادهی مشتریان Snowflake در سال گذشته یا حملات همچنان در حال وقوع به Salesforce توجه کنید.
منطقیترین روش برای دستیابی به این هدف، هدف قرار دادن کاربران آن اپلیکیشنها است. و به دلیل تغییرات در شیوههای کاری، کاربران شما بیش از هر زمان دیگری در دسترس مهاجمان خارجی قرار دارند.
در گذشته، ایمیل اصلیترین کانال ارتباطی با دنیای خارج بود و کارها بهصورت محلی انجام میشد ــ روی دستگاه کاربر و درون یک محیط شبکهای ایزوله و قفلشده. این وضعیت باعث میشد ایمیل و Endpoint بالاترین اولویت امنیتی محسوب شوند.
اما امروزه با انجام کارها در بستر یک شبکهی اپلیکیشنهای اینترنتی غیرمتمرکز و گسترش کانالهای ارتباطی متنوع خارج از ایمیل، جلوگیری از تعامل کاربران با محتوای مخرب دشوارتر شده است (البته مگر آنکه بخواهید به شکل قابل توجهی توانایی انجام وظایف روزمرهی آنها را محدود کنید).
از آنجا که مرورگر، نقطهی دسترسی و استفاده از اپلیکیشنهای سازمانی است، طبیعی است که حملات نیز بیشازپیش در همین محیط اجرا شوند.
اکنون که این موضوع روشن شد، بیایید نگاهی دقیقتر داشته باشیم به رایجترین تکنیکهای حملهی مبتنی بر مرورگر که مهاجمان امروزه در فضای واقعی مورد استفاده قرار میدهند.
شش حملهی کلیدی مبتنی بر مرورگر که تیمهای امنیتی باید بشناسند
۱- Phishing برای سرقت اعتبارنامهها و نشستها
مستقیمترین روش برای نفوذ به یک اپلیکیشن سازمانی این است که مهاجم کاربر آن اپلیکیشن را هدف حملهی Phishing قرار دهد. شاید در نگاه اول Phishing را بهعنوان یک حملهی مبتنی بر مرورگر تصور نکنید، اما در واقعیت امروز دقیقاً چنین ماهیتی دارد.
زیرساختها و ابزارهای Phishing در یک دههی گذشته تغییرات گستردهای داشتهاند و همزمان با تغییرات در فناوری اطلاعات سازمانی، هم بردارهای حمله برای تحویل محتوای Phishing افزایش یافتهاند و هم اپلیکیشنها و هویتهای بیشتری برای هدف قرار دادن وجود دارند.
مهاجمان میتوانند لینکهای مخرب را از طریق اپلیکیشنهای پیامرسان فوری Messenger ، شبکههای اجتماعی، پیامک، تبلیغات مخرب، یا حتی قابلیت پیامرسانی درونبرنامهای ارسال کنند. همچنین، آنها میتوانند از طریق خود سرویسهای SaaS ایمیل ارسال کنند تا از سد بررسیهای امنیتی مبتنی بر ایمیل عبور کنند.
به همین ترتیب، اکنون در هر سازمان صدها اپلیکیشن مختلف وجود دارد که هر یک دارای سطوح متفاوتی از پیکربندی امنیت حساب کاربری هستند و این مسئله گسترهی وسیعی برای حملات Phishing ایجاد میکند.
در حالی که Phishing در گذشته بهطور کامل بر سرقت اعتبارنامههامتمرکز بود، حملات Phishing مدرن به مهاجمان این امکان را میدهند که نشست قربانی در اپلیکیشن هدف را رهگیری کنند. این کار با استفاده از کیتهای Reverse-Proxy Attacker-in-the-Middle انجام میشود که امروزه به گزینهی استاندارد مهاجمان تبدیل شدهاند.
این موضوع به آن معناست که اغلب اشکال احراز هویت چندمرحلهای قابل دور زدن هستند، بهجز Passkeyها. با این حال، مهاجمان در حال یافتن روشهایی برای دور زدن Passkeyها از طریق Downgrade Attack نیز هستند.
تفاوتهای کلیدی دیگری نیز وجود دارد که باید به آنها توجه داشت. امروزه، phishing در مقیاس صنعتی انجام میشود و از مجموعهای از تکنیکهای obfuscation و detection evasion استفاده میکند.
نسل جدید کیتهای AitM phishing کاملاً سفارشیسازیشده، بهصورت پویا کد بارگذاری صفحه وب را obfuscate میکنند، مکانیزمهای اختصاصی bot protection (مانند CAPTCHA یا Cloudflare Turnstile) را پیادهسازی کرده، از قابلیتهای runtime anti-analysis بهره میبرند و از سرویسهای مشروع SaaS و cloud services برای میزبانی و توزیع لینکهای phishing استفاده میکنند تا فعالیت خود را پنهان کنند.
این بدان معناست که ابزارهای سنتی anti-phishing در لایه ایمیل و شبکه برای همگام شدن با این تهدیدات با مشکل مواجه شدهاند و بسیاری از حملات از شناسایی مبتنی بر ایمیل عبور میکنند (یا حتی بهطور کامل ایمیل را دور میزنند). در همین حال، راهکارهای مبتنی بر proxy تنها با مجموعهای درهمریخته از کدهای JavaScript مواجه میشوند، بدون آنکه زمینه لازم برای درک دقیق اتفاقات واقعی در مرورگر را داشته باشند تا بتوانند تحلیل مؤثری ارائه دهند.
حتی اگر سازمانها متوجه این موضوع نباشند، این بدان معناست که بسیاری از آنها اکنون صرفاً بر مسدودسازی سایتها و میزبانهای شناختهشده بهعنوان مخرب تکیه کردهاند ــ رویکردی که در سال ۲۰۲۵ با سرعت بالای جایگزینی و نوسازی زیرساختهای phishing از سوی مهاجمان، بهشدت ناکارآمد است.
این تغییرات باعث شدهاند که phishing بیش از هر زمان دیگری مؤثر باشد و شناسایی و مسدودسازی آن بدون توانایی مشاهده و تحلیل صفحات وبی که کاربر بهصورت لحظهای با آنها تعامل دارد، بسیار دشوار گردد ــ قابلیتی که تنها با browser-level visibility امکانپذیر است.
۲. تحویل کد مخرب (معروف به ClickFix، FileFix و غیره)
یکی از بزرگترین روندهای امنیتی در سال گذشته، ظهور تکنیک حملهای با عنوان ClickFix بوده است.
این حملات که در ابتدا با نام “Fake CAPTCHA” شناخته میشدند، تلاش میکنند کاربران را فریب دهند تا دستورات مخرب را روی دستگاه خود اجرا کنند ــ معمولاً از طریق حل یک چالش تأیید در مرورگر.
در واقعیت، با حل کردن این چالش، قربانی در حال کپی کردن کد مخرب از clipboard صفحه و اجرای آن روی دستگاه خود است. این حملات معمولاً شامل دستورالعملهایی برای قربانی هستند که وی را به کلیک روی اعلانها و سپس کپی، پیست و اجرای دستورات بهطور مستقیم در Windows Run dialog box، Terminal یا PowerShell هدایت میکنند.
گونههایی مانند FileFix نیز ظهور کردهاند که به جای آن، از File Explorer Address Bar برای اجرای دستورات سیستمعامل استفاده میکنند. نمونههای جدیدتر این حملات حتی به سمت macOS گسترش یافته و از macOS terminal برای اجرا بهره میبرند.
رایجترین کاربرد این حملات، تحویل infostealer malware است که با استفاده از stolen session cookies و credentials، به اپلیکیشنها و سرویسهای تجاری دسترسی پیدا میکند.
مشابه حملات مدرن credential phishing و session phishing، لینکهای صفحات مخرب از طریق کانالهای مختلف توزیع شده و از انواع فریبها بهره میبرند؛ از جمله جعل CAPTCHA، تقلید از Cloudflare Turnstile، شبیهسازی خطای بارگذاری صفحه وب و موارد متعدد دیگر.
تفاوت در روشهای lure و همچنین اختلاف میان نسخههای مختلف از یک lure، شناسایی و تشخیص آنها را صرفاً بر اساس عناصر بصری دشوار میسازد. علاوه بر این، بسیاری از مکانیزمهای حفاظتی که برای obfuscation و جلوگیری از تحلیل صفحات phishing به کار گرفته میشوند، در صفحات ClickFix نیز استفاده میشوند و این امر شناسایی و مسدودسازی آنها را به همان اندازه چالشبرانگیز میکند.
در نتیجه، بخش عمدهای از فرآیند شناسایی و مسدودسازی به کنترلهای لایه endpoint در ارتباط با user-level code execution و اجرای بدافزار روی دستگاه محدود میشود. حجم بالای تیترهای خبری مرتبط با ClickFix نشان میدهد که این کنترلهای endpoint بهطور مستمر دور زده میشوند یا حتی بهطور کامل با هدف قرار دادن دستگاههای شخصی یا BYOD از آنها اجتناب میشود.
با این حال، فرصت قابلتوجهی برای شناسایی این حملات در سطح مرورگر و توقف آنها در همان مراحل اولیه ــ پیش از رسیدن به endpoint ــ وجود دارد. هر حمله ClickFix و گونههای مختلف آن یک اقدام کلیدی مشترک دارند: کد مخرب از clipboard صفحه کپی میشود.
در برخی موارد، این فرآیند حتی بدون هیچگونه تعامل کاربر انجام میشود (بهطوریکه تنها شرط لازم برای قربانی، اجرای کدی است که در پسزمینه و بهصورت پنهانی کپی شده است)؛ و این موضوع یک شاخص قوی از رفتار مخرب محسوب میشود که میتوان آن را در مرورگر مشاهده و شناسایی کرد.
۳. ادغامهای مخرب OAuth
ادغامهای مخرب OAuth روشی دیگر برای مهاجمان محسوب میشوند تا با فریب کاربر در صدور مجوز برای یک اپلیکیشن مخرب تحت کنترل مهاجم، یک اپلیکیشن را به خطر بیندازند. میزان دسترسی به دادهها و سطح عملکرد این ادغام، توسط scopesهایی که در درخواست مجوز تأیید میشوند، تعیین میگردد.
این روش ابزاری مؤثر برای مهاجمان بهشمار میرود تا با دور زدن فرآیند معمول ورود (login process)، از کنترلهای تقویتشده authentication و access controls عبور کرده و یک حساب کاربری و در نتیجه اپلیکیشنهای سازمانی را به خطر بیندازند. این موضوع شامل روشهای MFA مقاوم در برابر phishing (مانند passkeys) نیز میشود، زیرا فرآیند استاندارد ورود در این حملات به کار گرفته نمیشود.
یکی از گونههای این حملات که اخیراً بهطور گسترده در صدر اخبار قرار گرفته، مربوط به نقضهای مداوم در Salesforce است. در این سناریو، مهاجم قربانی را فریب داده تا یک اپلیکیشن OAuth تحت کنترل مهاجم را از طریق device code authorization flow در Salesforce تأیید کند؛ فرآیندی که طی آن کاربر باید یک کد ۸ رقمی را به جای رمز عبور یا عامل MFA وارد کند.
پیشگیری از تأیید ادغامهای مخرب OAuth نیازمند مدیریت دقیق سطح دسترسی کاربران درون اپلیکیشن و تنظیمات امنیتی tenant است. این امر با توجه به صدها اپلیکیشنی که در سازمانهای مدرن مورد استفاده قرار میگیرند ــ بسیاری از آنها خارج از مدیریت متمرکز تیمهای IT و امنیت (و در برخی موارد حتی بهطور کامل ناشناخته برای آنها) ــ کار سادهای نیست.
حتی در این شرایط نیز کنترلها به قابلیتهایی محدود میشوند که توسط فروشنده اپلیکیشن ارائه میشوند. بهعنوان مثال، Salesforce تغییرات برنامهریزیشدهای را در فرآیند OAuth app authorization برای افزایش امنیت و در واکنش به این حملات اعلام کرده است؛ اما همچنان اپلیکیشنهای متعددی با پیکربندیهای ناامن وجود دارند که در آینده میتوانند مورد سوءاستفاده مهاجمان قرار گیرند.
با این حال، برخلاف ادغامهای خاص هر اپلیکیشن، ابزارهای امنیتی مبتنی بر مرورگر در موقعیت مناسبی قرار دارند تا فرآیندهای OAuth grants را در تمامی اپلیکیشنهایی که از طریق مرورگر دسترسی مییابند، مشاهده کنند ــ حتی آنهایی که تحت مدیریت تیم امنیت نیستند یا ناشناخته باقی ماندهاند، و بدون نیاز به خرید افزونههای امنیتی اختصاصی همان اپلیکیشن.
۴. افزونههای مخرب مرورگر
افزونههای مخرب مرورگر روشی دیگر برای مهاجمان محسوب میشوند تا اپلیکیشنهای سازمانی را با مشاهده و ضبط فرآیندهای ورود (logins) یا استخراج session cookies و credentials ذخیرهشده در browser cache و password manager به خطر بیندازند.
مهاجمان این کار را یا با ایجاد یک افزونه مخرب اختصاصی و فریب کاربران برای نصب آن انجام میدهند، یا با در اختیار گرفتن یک افزونه موجود برای دسترسی به مرورگرهایی که قبلاً آن افزونه روی آنها نصب شده است. (این فرآیند بسیار ساده است؛ مهاجمان میتوانند بهراحتی یک افزونه موجود را خریداری کرده و بروزرسانیهای مخرب به آن اضافه کنند، که بهسادگی از بررسیهای امنیتی extension web store عبور میکند.)
اخبار مرتبط با نقضهای مبتنی بر افزونه از دسامبر ۲۰۲۴ و در پی هک شدن افزونه Cyberhaven (به همراه حداقل ۳۵ افزونه دیگر) بهطور قابل توجهی افزایش یافته است. از آن زمان تاکنون، گزارشهای متعددی از افزونههای سرقت داده منتشر شده است که با جعل برندهای مشروع میلیونها کاربر را تحت تأثیر قرار دادهاند.
مجوزهای پرخطر افزونهها شامل دسترسی گسترده به دادهها، توانایی تغییر محتوای وبسایتها، ردیابی فعالیتهای کاربر، گرفتن اسکرینشات، مدیریت تبها یا درخواستهای شبکه است. مجوزهایی مانند «read and change all data on all websites» یا دسترسی به کوکیها و تاریخچه مرورگر بهویژه خطرناکاند، زیرا میتوانند برای session hijacking، سرقت دادهها، تزریق بدافزار یا phishing مورد سوءاستفاده قرار گیرند.
بهطور کلی، کارکنان نباید بهصورت تصادفی اقدام به نصب افزونههای مرورگر کنند مگر اینکه از سوی تیم امنیت تأیید شده باشند. اما واقعیت این است که بسیاری از سازمانها دید بسیار محدودی نسبت به افزونههای مورداستفاده کارکنان خود دارند و همین امر باعث افزایش سطح ریسک میشود.
برای مقابله با افزونههای مخرب، ابزارهای امنیتی مبتنی بر مرورگر میتوانند افزونههای نصبشده را ردیابی کنند، مجوزهای پرخطر را شناسایی نمایند، آنها را با لیست افزونههای شناختهشده بهعنوان مخرب مقایسه کنند، نسخههای جعلی/غیررسمی یک افزونه مشروع را شناسایی کرده و سایر ویژگیهای پرخطر مرتبط با افزونههای مخرب (مانند افزونههای «Developer») را برجسته کنند.
۵. تحویل فایلهای مخرب
فایلهای مخرب سالهاست بخش اصلی تحویل بدافزار و سرقت اعتبارنامه به شمار میروند. همانطور که کانالهای غیرایمیلی مانند malvertising و drive-by attacks برای تحویل phishing و ClickFix lures استفاده میشوند، فایلهای مخرب نیز از طریق روشهای مشابه توزیع میگردند ــ و شناسایی آنها عموماً به بررسی فایلهای شناختهشده بهعنوان مخرب، تحلیل در sandbox از طریق proxy (که در برابر بدافزارهای آگاه به sandbox کارایی چندانی ندارد)، یا تحلیل در زمان اجرا روی endpoint محدود میشود.
این حملات تنها به فایلهای اجرایی مخرب که بدافزار را مستقیماً روی دستگاه مستقر میکنند محدود نیستند. دانلود فایلها میتواند حاوی لینکهای اضافی به محتوای مخرب نیز باشد. در واقع، یکی از رایجترین انواع محتوای قابل دانلود، HTML Applications (HTAs) هستند که اغلب برای ایجاد صفحات phishing محلی و سرقت پنهانی اعتبارنامهها استفاده میشوند. اخیراً مهاجمان حتی از فایلهای SVG نیز برای همین منظور استفاده کردهاند، بهگونهای که این فایلها بهعنوان صفحات phishing مستقل عمل کرده و پورتالهای جعلی ورود را بهطور کامل در سمت کلاینت رندر میکنند.
حتی اگر محتوای مخرب همیشه از طریق بررسی سطحی فایل قابل شناسایی نباشد، ثبت فرآیند دانلود فایلها در مرورگر یک لایه دفاعی مفید محسوب میشود که بهعنوان مکمل حفاظت مبتنی بر endpoint عمل کرده و در برابر دانلودهایی که حملات سمت کلاینت انجام میدهند یا کاربر را به محتوای مخرب مبتنی بر وب هدایت میکنند، دفاع ایجاد میکند.
۶. سرقت اعتبارنامهها و شکافهای MFA
این بخش الزاماً یک حمله مبتنی بر مرورگر نیست، اما نتیجه مستقیم آنها به شمار میرود. زمانی که credentials از طریق phishing یا بدافزارهای infostealer سرقت میشوند، میتوان از آنها برای تصاحب حسابهایی که فاقد MFA هستند استفاده کرد.
این حملات پیچیدهترین نوع تهدید محسوب نمیشوند، اما بهشدت مؤثرند. تنها کافی است به نقض حسابهای Snowflake در سال گذشته یا حملات اخیر به Jira توجه کنید تا دریابید مهاجمان چگونه از stolen credentials در مقیاس وسیع بهرهبرداری میکنند.
با توجه به اینکه سازمانهای مدرن از صدها اپلیکیشن استفاده میکنند، احتمال بالایی وجود دارد که برخی از آنها برای mandatory MFA پیکربندی نشده باشند (در صورت امکان). حتی زمانی که یک اپلیکیشن به SSO متصل و با هویت اصلی سازمان یکپارچه شده باشد، ghost logins محلی همچنان ممکن است وجود داشته باشند که تنها با رمز عبور (بدون MFA) پذیرفته میشوند.
فرآیند لاگین در مرورگر نیز قابل مشاهده است ــ در واقع این موضوع نزدیکترین منبع جامع برای اطلاع از نحوه ورود کارکنان به اپلیکیشنها، اپلیکیشنهای مورداستفاده و وجود یا عدم وجود MFA محسوب میشود. این امر به تیمهای امنیتی امکان میدهد تا لاگینهای آسیبپذیر را پیش از آنکه توسط مهاجمان مورد سوءاستفاده قرار گیرند، شناسایی و اصلاح کنند.
نتیجهگیری
حملات بهطور فزایندهای در سطح مرورگر اتفاق میافتند و همین موضوع مرورگر را به بهترین نقطه برای شناسایی و مقابله با این حملات تبدیل میکند. با این حال، در حال حاضر مرورگر یک blind-spot برای بسیاری از تیمهای امنیتی محسوب میشود.
پلتفرم امنیتی مرورگرمحور Push Security قابلیتهای جامع detection و response را در برابر اصلیترین عوامل نقض امنیت فراهم میکند. Push حملات مرورگرمحور مانند AiTM phishing، credential stuffing، password spraying و session hijacking با استفاده از stolen session tokens را مسدود میکند.
همچنین میتوانید از Push برای شناسایی و رفع آسیبپذیریها در اپلیکیشنهای مورداستفاده کارکنان، مانند ghost logins، شکافهای SSO coverage، شکافهای MFA، رمزهای عبور آسیبپذیر، ادغامهای پرریسک OAuth و موارد دیگر استفاده کنید تا سطح حملات هویتی (identity attack surface) را تقویت نمایید.