---
title: داستانی واقعی راجع به عبور از احراز هویت چندعاملی؛ نگهبانان سایبری چطور با یک کلیک فریب می‌خورند؟
date: 2026-05-31T17:00:00Z
modified: 2026-05-31T18:05:40Z
permalink: "https://nooshdaroo.ir/safe-ecommerce-selling/triskele-labs-mfa-bypass-story/"
type: post
status: publish
excerpt: ""
wpid: 12229
categories:
  - کسب‌وکار آنلاین
  - مبانی امنیت
tags:
  - top-section-overwrite
  - امنیت سایبری
author:
  - ZiaeiShayan
featured_image: "https://nooshdaroo.ir/wp-content/uploads/2026/05/Gemini_Generated_Image_fynp37fynp37fynp.webp"
---

داستان نفوذهای سایبری ویرانگر، برخلاف آنچه در فیلم‌های سینمایی به تصویر کشیده می‌شود، با کدهای پیچیده روی نمایشگرهای تاریک آغاز نمی‌شود. این فجایع بیشتر با یک کلیک ساده، در یک روز کاملاً عادی و توسط یک کارمند خسته یا کنجکاو رقم می‌خورند.

برای درک بهتر این موضوع، روایت مستند یکی از پیچیده‌ترین نفوذهای سایبری که توسط مرکز عملیات امنیت (SOC) در شرکت استرالیایی «تریسکل لبز» (Triskele Labs) دفع شد، پرده از حقایقی هولناک برمی‌دارد که آشنایی با آن‌ها برای هر کسب‌وکار آنلاینی ضروری است…

## ۱. یک روز بهاری و سقوط قلعه در شش دقیقه

هفتم ماه مِی سال ۲۰۲۵ است؛ یک روز کاری عادی. کارمند یکی از سازمان‌های تحت نظارت شرکت امنیتی «تریسکل لبز» پشت میز می‌نشیند تا ایمیل‌هایش را بررسی کند. عقربه‌ها، ساعت ۹:۲۹ دقیقه صبح را نشان می‌دهند. در پس‌زمینه، نر‌م‌افزار امنیتی سازمان متوجه یک نامه مشکوک می‌شود، آن را به صورت خودکار مسدود می‌کند و در پوشه قرنطینه قرار می‌دهد.

طبق روال همیشه، سیستم یک پیام خلاصه برای کارمند می‌فرستد تا او را از محتوای ایمیل متوقف‌شده باخبر کند. تا این لحظه هیچ خطری شبکه را تهدید نمی‌کند.

کارمند مشغول کارهای روزمره است، اما در ساعت ۱۰:۱۵ دقیقه، حس کنجکاوی یا شاید احساس نیاز به انجام سریع وظایف کاری، بر احتیاط غلبه می‌کند. او نگاهی به پیام خلاصه می‌اندازد و تصمیم می‌گیرد ایمیل مسدود شده را آزاد کند. تنها یک دقیقه بعد، در ساعت ۱۰:۱۶ دقیقه، ایمیل مشکوک وارد صندوق پستی‌اش می‌شود.

این ایمیل با استفاده از لوگوهای آشنا، رنگ‌بندی سازمانی دقیق و ظاهری که نشان می‌داد یک پیام مهم از بخش بهداشت و سلامت است، طراحی شده بود. درون آن هم لینکی وجود داشت که ظاهراً کاربر را به صفحه‌ای برای مشاهده اسناد هدایت می‌کرد.

ساعت ۱۰:۲۲ دقیقه، لحظه‌ سرنوشت‌ساز فرا می‌رسد. کارمند بدون هیچ تردیدی، روی لینک کلیک و نام کاربری و رمز عبور خود را در صفحه‌ای که کپی برابر اصل درگاه ورود مایکروسافت بود، وارد می‌کند. سیستم بلافاصله از او می‌خواهد که هویت خود را از طریق «احراز هویت چندعاملی» (MFA) روی تلفن همراهش تایید کند. گوشی زنگ می‌خورد، او اعلان را می‌بیند، دکمه تایید را می‌زند و با خیال راحت منتظر باز شدن سند می‌ماند. از دیدگاه کاربر، او با موفقیت و امنیت وارد حساب خود شده است.

اما هزاران کیلومتر دورتر، یک مهاجم در کمال خونسردی در حال تماشای این فرآیند است. تنها یک دقیقه پس از تعامل کاربر با لینک، هکر دسترسی کامل به حساب را به‌دست می‌آورد. ورود از طریق آدرس آی‌پی متعلق به یک سرویس میزبانی وب در ایالات متحده آمریکا انجام می‌شود.

 نکته ترسناک اینجاست که هکر برای ورود به حساب، دیگر نیازی به تایید مجدد پیامک یا اپلیکیشن ندارد. او رمز عبور را دور نزد، بلکه کلید بسیار ارزشمندتری را در همان لحظه ربود تا درهای قلعه بدون هیچ هشداری برایش باز شوند.

خوشبختانه در جریان این رویداد واقعی، تیم امنیتی تریسکل لبز بیدار بود. در همان ساعت ۱۰:۲۲، سیستم‌های هشدار متوجه ورود غیرعادی کاربری از آمریکا شدند.

تنها هفت دقیقه پس از نفوذ اولیه، در ساعت ۱۰:۲۹، تیم امنیتی حساب کاربری را غیرفعال و توکن مسروقه را باطل کرد. البته هکر بعدتر در ساعت ۱۹:۲۷ تلاش کرد تا دوباره وارد شبکه شود، اما حصارهای امنیتی دیگر کاملاً بسته شده بودند.

## ۲. توهم امنیت: معمای دستبند ویژه و توکن نشست

سال‌هاست که کارشناسان امنیت دیجیتال، استفاده از [احراز هویت دو مرحله‌ای](https://nooshdaroo.ir/cybersecurity-basics/two-step-factor-verification/) یا چندعاملی را به‌عنوان خطی قرمز و سدی نفوذناپذیر در برابر هکرها معرفی کرده‌اند. اما این داستان واقعی نشان داد که سیستم‌های امنیتی فعلی دیگر تضمین‌کننده امنیت مطلق نیستند. برای درک اینکه هکر آمریکایی چگونه توانست بدون دسترسی به موبایل کارمند استرالیایی وارد شبکه شود، باید با مفهومی به‌نام «توکن نشست» (Session Token) آشنا شویم.

برای درک بهتر این مفهوم انتزاعی، یک مجتمع فوق‌امنیتی یا یک سالن کنسرت بسیار ویژه را در نظر بگیرید. در ورودی این سالن، نگهبانی سخت‌گیر ایستاده است که نقش همان سیستم احراز هویت دو مرحله‌ای را بازی می‌کند. وقتی فردی قصد ورود دارد، ابتدا باید کارت شناسایی خود را نشان دهد که همان نام کاربری و رمز عبور است. نگهبان به این مدرک بسنده نمی‌کند و برای اطمینان بیشتر، پیامکی به شماره ثبت‌شده او ارسال می‌کند تا هویتش را کاملاً تایید کند.

زمانی که هویت فرد به‌طور کامل تایید شد، نگهبان یک «دستبند ویژه عبور» به مچ او می‌بندد. از این پس، فرد می‌تواند در تمام راهروها، اتاق‌ها و سالن‌های مجتمع آزادانه تردد کند. تا زمانی که این دستبند در دست اوست، هیچ نگهبان دیگری در داخل مجتمع از او کارت شناسایی یا رمز عبور نمی‌خواهد.

در دنیای وب، این دستبند ویژه همان توکن نشست است. این توکن‌ها فایل‌های متنی بسیار کوچکی هستند که پس از ورود موفقیت‌آمیز، توسط وب‌سایت در حافظه مرورگر ذخیره می‌شوند تا مجبور نباشید با باز کردن هر ایمیل جدید، دوباره رمز عبورتان را وارد کنید.

هکرها متوجه شدند مبارزه با نگهبانِ درِ ورودی کار بسیار دشواری است. بنابراین، تصمیم گرفتند به جای درگیری با نگهبان، مستقیماً دستبند ویژه را از دست کاربر واقعی بدزدند. زمانی که کارمند استرالیایی کد تایید را روی گوشی خود فشرد، سرور مایکروسافت یک توکن نشست معتبر تولید کرد. اما سایت جعلی که هکر ساخته بود، در میانه راه قرار داشت و پیش از آنکه این توکن به مرورگر کاربر برسد، یک کپی از آن برداشت. هکر با انتقال این توکن به مرورگر خود، سرور را به‌سادگی فریب داد.

## ۳. ماشین فریب‌کاری: هیولایی به‌نام اِویل‌جینکس 

![](https://nooshdaroo.ir/wp-content/uploads/2026/05/ChatGPT-Image-May-31-2026-05_06_22-PM-1024x576.webp)

تا چندی پیش، وب‌سایت‌های [فیشینگ](https://nooshdaroo.ir/fraud-awareness/phishing/) صرفاً کپی‌های گرافیکی و بی‌جانی از سایت اصلی بودند که فقط رمز عبور را می‌دزدیدند. با روی کار آمدن تایید دو مرحله‌ای، این سایت‌های جعلی بی‌کاربرد شدند. در پاسخ به این محدودیت، هکرها یک ابزار به‌شدت خطرناک به‌نام [اِویل‌جینکس](https://abnormal.ai/blog/cybercriminals-evilginx-mfa-bypass) (Evilginx) توسعه دادند.

اویل‌جینکس یک سایت جعلی ثابت نیست، بلکه آینه‌ای شفاف است که بین کاربر و سرور واقعی قرار می‌گیرد. در داستان تریسکل لبز، زمانی که کاربر روی لینک کلیک کرد، در واقع داشت از درون این آینه به سرور واقعی مایکروسافت نگاه می‌کرد (پروکسی معکوس).

کاربر رمز عبور را وارد کرد و اویل‌جینکس در همان ثانیه، آن را به سرور اصلی فرستاد. سرور اعلان تایید را روی گوشی کاربر ظاهر کرد. کاربر با اطمینان روی دکمه تایید زد. سرور توکن را صادر کرد، اما اویل‌جینکس که در وسط راه ایستاده بود، آن را روی هوا قاپید و کپی کرد. در نهایت، کاربر وارد صندوق پستی خود شد و هیچ چیز عجیبی ندید، درحالی‌که هکر با استفاده از توکن مسروقه، کنترل کامل حساب را به دست گرفته بود.

## ۴. جغرافیای تهدید: چالش‌های هولناک کاربران ایرانی

روایت استرالیا تنها گوشه‌ای از یک طوفان است، اما دنیای دیجیتال برای یک کاربر ایرانی، مملو از خطراتی است که با مختصات اقتصادی و زیرساختی خاص این کشور گره خورده است.

تهدید شماره یک در ایران، برخلاف کشورهای غربی که بیشتر با ایمیل‌های سازمانی درگیرند، حمله‌های [فیشینگ پیامکی](https://nooshdaroo.ir/fraud-awareness/sms-phishing-smishing/) با هدف غارت دارایی‌های خرد است. مهاجمان با بهره‌گیری از [مهندسی اجتماعی](https://nooshdaroo.ir/fraud-awareness/social-engineering-explained/)، پیامک‌هایی با عناوین نگران‌کننده مانند قطع یارانه، ثبت‌نام سهام عدالت یا ابلاغیه دادگستری ارسال می‌کنند. زمانی که کاربر نگران روی لینک ناشناس کلیک می‌کند، به درگاهی جعلی هدایت شده و ترغیب می‌شود تا یک نرم‌افزار اندرویدی را برای پیگیری پرونده نصب کند.

این بدافزارها به محض نصب، آیکون خود را مخفی می‌کنند تا کاربر تصور کند نرم‌افزار خراب بوده است. اما بدافزار در پس‌زمینه، تمام پیامک‌های دریافتی را می‌خواند و به سرور هکرها می‌فرستد. در این لحظه، تایید دو مرحله‌ای پیامکی بانک‌ها عملاً فلج می‌شود، زیرا هکر رمز پویای بانک را پیش از خود کاربر می‌خواند و حساب را بلافاصله خالی می‌کند.

معضل دوم، پارادوکس فیلترینگ و ابزارهای امنیتی است. یکی از موثرترین راهکارها برای جلوگیری از سوءاستفاده از توکن‌های نشست مسروقه، پیاده‌سازی قابلیتی به نام «محدودیت آدرس اینترنتی» است. یعنی اگر توکنی با یک آی‌پی در تهران صادر شد، هکری در روسیه نتواند از آن استفاده کند.

هرچند در ایران به‌دلیل استفاده از ابزارهای تغییر آی‌پی، آدرس کاربران روزی ده‌ها بار تغییر می‌کند، فعال کردن این سپر امنیتی باعث قطع شدن مداوم کاربران از حساب‌هایشان می‌شود و به همین خاطر، مدیران شبکه‌ها مجبورند این سپر حیاتی را غیرفعال کنند.

بحران سوم به اقتصاد و تحریم‌ها بازمی‌گردد. موثرترین روش تایید شده در جهان برای مقابله با این دست از حملات، استفاده از کلیدهای امنیتی سخت‌افزاری است که شبیه یک فلش‌مموری عمل می‌کنند تا توکن به سایت‌های جعلی منتقل نشود.

با نگاهی به بازار ایران، تهیه دستگاهی مانند یوبی‌کی (YubiKey) به‌دلیل تحریم‌ها و قیمت بالای ارز، به یک سرمایه‌گذاری سنگین چند میلیون تومانی برای هر فرد تبدیل شده است. این هزینه برای کسب‌وکارهای کوچک غیرمنطقی است و کاربران را در برابر هکرها بی‌دفاع می‌گذارد.

## ۵. نقشه راه بقا: چگونه امن بمانیم

پرونده تریسکل لبز و وضعیت خاص ایران نشان می‌دهد که تکیه بر فناوری‌های قدیمی، خطر امنیتی را افزایش می‌دهد. هکرها روان انسان را بهتر از کدهای کامپیوتری رمزگشایی کرده‌اند. اما برای مقابله با این جریان، کارشناسان رویکردهای مشخصی برای بازسازی معماری امنیتی پیشنهاد می‌دهند.

نخستین گام، ارتقای روش‌های احراز هویت است. روش‌هایی مانند «تطبیق اعداد» (Number Matching) برای جلوگیری از تایید تصادفیِ ورود مفید به‌نظر می‌رسند، اما در برابر ترفندهای اویل‌جینکس بی‌دفاع هستند. به همین دلیل، سازمان‌ها باید به سمت استفاده از فناوری‌های مقاوم به فیشینگ (Phishing-Resistant MFA) مانند کلیدهای سخت‌افزاری (FIDO2) یا فناوری‌های نوین ورود بدون رمز عبور ([Passkey](https://nooshdaroo.ir/cybersecurity-basics/what-is-passkey/)) حرکت کنند که توکن را به شکل رمزنگاری‌شده به دامنه واقعی گره می‌زند و اجازه سرقت آن را به سایت‌های واسطه نمی‌دهد.

دومین راهکار اساسی، کنترل بی‌رحمانه زمان اعتبار توکن‌ها است. شرکت‌ها و پلتفرم‌ها باید سیاست‌هایی تنظیم کنند که توکن‌های فعال، پس از چند ساعت انقضای اجباری داشته باشند. به این ترتیب، حتی اگر توکنی به سرقت برود، هکر زمان بسیار محدودی برای گشت‌وگذار در شبکه‌های حساس خواهد داشت.

سومین و مهم‌ترین نوشدارو، سرمایه‌گذاری هدفمند روی سخت‌افزارهای امنیتی برای کاربران کلیدی است. به‌رغم قیمت بالای کلیدهای سخت‌افزاری در ایران، مدیران ارشد، حسابداران و ادمین‌های شبکه باید به این ابزارها مجهز شوند. هزینه‌ای که امروز برای خرید چند کلید سخت‌افزاری پرداخت می‌شود، در مقایسه با خسارت‌های جبران‌ناپذیر نشت اطلاعات و باج‌گیری‌های میلیون دلاری، رقمی بسیار ناچیز است.

در نهایت، امن ماندن در دریای مواج اینترنت، نیاز به درک این حقیقت دارد که در عصر حاضر، امنیت سایبری یک کالای قابل خرید نیست، بلکه فرآیندی از شکاکیت مداوم است. امروزه دیگر در دورانی زندگی نمی‌کنیم که تنها با یک رمز عبور بتوانیم مرزهای حریم شخصی را حفظ کنیم. در دنیایی که یک کلیک ساده در ساعت ده صبح می‌تواند کل دارایی یک سازمان را در کمتر از هفت دقیقه به تاراج ببرد، هوشیاری تنها راه بقاست.