Фишинг платформи вече използват проксиране на реални сайтове, за да крадат сесии и да заобикалят MFA
Ново поколение фишинг инструменти променя начина, по който се извършват атаките за поемане на контрол над акаунти. Вместо да имитират страници за вход, атакуващите вече проксират реалните страници за автентикация в реално време, което им позволява да прихващат идентификационни данни, токени за автентикация и активни потребителски сесии.
Един от инструментите, известен като Starkiller, показва как фишинг инфраструктурата се превръща в структурирана киберпрестъпна платформа, способна да заобикаля многофакторна автентикация (MFA).
Реалните сайтове се използват директно във фишинг атаките
Традиционните фишинг кампании разчитат на клонирани страници за вход, които имитират известни брандове. Тези страници трябва постоянно да се актуализират, когато легитимните услуги променят интерфейса си.
Инструментът Starkiller премахва този проблем, като доставя живо съдържание директно от реалния сайт, който се имитира.
Системата стартира контейнеризирана браузърна среда, която зарежда реалната страница за вход и препраща всички взаимодействия през инфраструктура, контролирана от атакуващия. За жертвата страницата изглежда и функционира напълно като оригиналната услуга.
Тъй като реалният сайт се проксира в реално време, няма фишинг шаблони, които защитните системи да могат лесно да разпознаят и блокират.
Инфраструктура тип Adversary-in-the-Middle
Технически атаката функционира като Adversary-in-the-Middle (AiTM) reverse proxy.
Всяко действие на потребителя преминава през инфраструктурата на атакуващия:
въвеждане на потребителско име и парола
заявки за автентикация
кодове за многофакторна автентикация
сесийни бисквитки и токени
След успешен вход атакуващите могат да прихванат активните сесийни токени и да получат достъп до акаунта без да се налага повторно логване.
Това на практика неутрализира традиционните MFA защити.
Фишинг като услуга
Инфраструктурата зад Starkiller показва и друга важна тенденция. Фишинг операциите все по-често се предлагат като платформи тип услуга.
Операторите получават централен контролен панел, чрез който могат да:
изберат брандове за имитация
въведат реалния URL на страницата за вход
генерират фишинг линкове
наблюдават откраднатите сесии в реално време
Инструменти за маскиране на линкове и URL съкращаване са интегрирани директно в платформата, за да изглеждат съобщенията по-легитимни.
Този модел значително понижава техническите умения, необходими за провеждане на сложни атаки.
Нови техники за заобикаляне на MFA
Последните кампании показват, че атакуващите използват и легитимни механизми за автентикация като част от фишинг атаките.
Един пример е OAuth device authorization flow, който се използва за логване в услуги без директен браузърен достъп.
При този сценарий:
Атакуващият регистрира злонамерено OAuth приложение.
Генерира се код за устройство.
Жертвата получава фишинг съобщение с инструкции да въведе този код в легитимна страница за вход.
Тъй като автентикацията се извършва в реалния сайт, жертвата не подозира нищо. В резултат атакуващият получава валиден OAuth токен, който може да предостави постоянен достъп до акаунти и корпоративни данни.
DIAMATIX перспектива
Идентичността и системите за автентикация се превръщат в основната повърхност за атаки в съвременните организации.
Фишинг кампаниите вече не се ограничават до кражба на пароли. Все по-често атакуващите се насочват към сесийни токени и механизми за автентикация, което им позволява да заобиколят защитите, създадени за защита на идентификационни данни.
Няколко тенденции се открояват ясно:
фишинг инфраструктурата се превръща в платформи
AiTM техниките се използват все по-често
легитимни механизми за автентикация се превръщат в част от атаката
автоматизацията позволява кампании в голям мащаб
Организациите трябва да адаптират защитните си стратегии, като обръщат повече внимание на наблюдението на идентичности и активни сесии.
Препоръчителни мерки включват:
внедряване на phishing-resistant автентикация
наблюдение на необичайни сесии и токени
ограничаване на OAuth приложенията
обучение на потребителите за рискове при процесите на логване
С разрастването на тези платформи защитата на идентичността изисква видимост не само върху паролите, но и върху сесиите и токените за достъп.
Trusted · Innovative · Vigilant
Получавайте актуални новини и експертни анализи за киберсигурност
