Текуща фишинг кампания може да хакне дори мултифакторна защита

Стоян Ненов Последна промяна на 14 юли 2022 в 10:11 1511 0

Hacker Phishing

Снимка Pikisuperstar/Freepik

Хакер, фишинг атака

Microsoft обяви, че е разкрила мащабна фишинг кампания, която вече е атакувала над 10 хил. организации по целия свят. Тя е започната през септември 2021 г., като продължава активно и в момента, съобщава Ars technica.

Кампанията е доста добре разработена, като дори успява да превземе профили, които са защитени с мултифакторна автентикация. Това са допълнителните стъпки за сигурност, които вече набират голяма популярност сред много услуги. Такива например са изпращането на допълнителен код по SMS или през приложение, както и използването на отделни устройства или USB ключове за идентификация.

Нивото на защита зависи от метода на идентификация и може да варира значително. Въпреки това хакерската кампания изглежда успява да се справи с повечето вариации.

Внимателно позициониране

Microsoft е проследила и анализирала действието на кампанията. Основната ѝ цел е да позиционира контролиран от хакерите сайт между профила на потребителя и сървъра, към който се свързва. Най-често това се прави с точно копие на истинския сайт и потребителят въвежда името и паролата си в него. Фалшивият сайт след това препраща информацията и към сървъра, като връща на потребителя и реалния отговор на сървъра.

Така сайтът се превръща в посредник на комуникацията между потребителя и сървъра и копира всички данни между тях. Това включва и „бисквитките“ за идентификация, за да не е налага потребителят всеки път да се идентифицира за всяка нова страница. В бисквитките се съдържа и информация за успешна мултифакторна автентикация (MFA), така че тя се заобикаля дори и да е активирана от организацията.

Класически подход с фалшив сайт

Анализът на Microsoft открива, че най-често кампанията започва с изпращане на имейли до служителите на организация, в които се съдържа линк към подготвения фалшив сайт. Самият той използва откраднати бисквитки от онлайн версията на Outlook.

1

След това хакерът прекарва няколко дни във внимателно проучване на комуникацията на жертвите си. Търсят се писма и данни, които да се използват за измами. Най-често хакерът се представя от името на потребителя пред клиенти на организацията и ги уведомява за промяна на банковите сметки и налични плащания, които трябва да бъдат извършени.

Понякога тази комуникация продължава с дни. За да бъде скрита от реалия потребител, хакерите създават автоматизирани правила и имейлите от съответните получатели се пренасочват към архивирана папка и се маркират като прочетени. Хакерът след това влиза периодично, за да провери дали има отговори. В някои случаи така се извършват няколко паралелни измами с различни мишени.

Измамите се реализират много лесно, като най-често линкът към фалшивата страница е просто копие на логин сайта на Microsoft. Единствената разлика е в домейна, който е видим в полето за адреси на браузъра. Той може да се разминава с няколко букви или да използва съкращения, които обаче вее са популярни заради късите линкове. Така потребителят няма да възприеме, че например mcsft е фалшив сайт, а може да реши, че просто е една от многото служебни страници на интернет гиганта.

Microsoft е добавила още защити, които да анализират за съмнителна дейност в Office 365 профилите. Въпреки това самите потребители също трябва да са внимателни и да преглеждат внимателно сайтовете, които посещават.

Всички новини
За писането на коментар е необходима регистрация.
Моля, регистрирайте се от TУК!
Ако вече имате регистрация, натиснете ТУК!

Няма коментари към тази новина !