Milijardai žmonių, kasdien prisijungiančių prie „Gmail“ ir „Outlook“ paskyrų, taip pat kitų pagrindinių el. pašto platformų, įskaitant „AOL“ ir „Yahoo“, turi nerimauti dėl naujos pavojingos atakos. Jei manote, kad 2FA visada užtikrina jūsų saugumą, pagalvokite dar kartą. Ši ataka apeina dviejų veiksnių autentifikavimą per sesijos užgrobimą ir įgaliojimų perėmimą realiuoju laiku.
Įspėjimą pateikia naujai paskelbta ataskaita apie naują sukčiavimo rinkinį, pavadintą „Astaroth“. Užkrėstame prietaise jis vykdo „man-in-the-middle“ ataką tarp naudotojo ir teisėtos paskyros prisijungimo puslapio, realiuoju laiku perimdamas prisijungimo duomenis, žetonus ir sesijos slapukus, veiksmingai apeidamas 2FA.
Apie šį piktavalį rinkinį pirmą kartą buvome įspėti praėjusį mėnesį ir jis išsiskiria tuo, kad ne tik perima prisijungimo duomenis, bet ir greitai perima 2FA autentifikavimo informaciją ir sesijos slapukus, kai jie sukuriami. Tai taip pavojinga dėl to, kad perėmimas realiuoju laiku, įgalintas atvirkštinio proxy mechanizmo, leidžia įsilaužėliams nepaprastai greitai ir tiksliai apeiti 2FA apsaugos priemones.
Analitikai įspėja, kad priešingai nei tradiciniai sukčiavimo rinkiniai paprastai remiasi statiniais netikrais prisijungimo puslapiais, kuriuose fiksuojami tik pirminiai prisijungimo duomenys, dažnai paliekant 2FA sluoksnį nepažeistą. Dinamiškai perimdama visus autentifikavimo duomenis realiuoju laiku, „Astaroth“ gerokai pakelia kartelę, todėl įprasti apsisaugojimo metodai ir jiems būdingos saugumo priemonės tampa beveik neveiksmingi.
Kaip visada, viskas prasideda nuo nuorodos ir paspaudimo. O tai reiškia, kad to galima visiškai išvengti, jei laikysitės pagrindinių rekomendacijų, kaip nespausti nuorodų el. laiškuose, žinutėse ar socialinės žiniasklaidos pranešimuose. Ši nuoroda nukreips jus į kenkėjišką serverį, kuris atspindi tikslinio domeno išvaizdą ir funkcionalumą, o srautą tarp aukos ir teisėto prisijungimo puslapio perduoda toliau. Jei pasirinksite „Google“, jums bus pateiktas būtent šis prisijungimo puslapis.
Nematysite jokių saugumo įspėjimų ir manysite, kad esate teisėtame tinklalapyje, MITM ataka perima jūsų duomenis ir užkulisiuose perduoda juos tikrajam tinklalapiui. Vartotojo agentas ir IP adresas leidžia užpuolikams atkartoti aukos sesijos aplinką ir sumažinti aptikimo riziką prisijungimo metu.
Ši ataka visiškai pakerta saugumo jausmą, kurį patirsite dėl 2FA. Kadangi 2FA visada dalyvauja (pvz., naudojant SMS kodus, autentifikavimo programėles ar stumiamuosius pranešimus), „Astaroth“ automatiškai fiksuoja 2FA įvedimą realiuoju laiku. Ji taip pat užtikrina, kad bet koks aukos įvestas simbolis būtų iškart perimtas – užpuolikas iškart įspėjamas per žiniatinklio skydelio sąsają ir „Telegram“ pranešimus.
Ši ataka taip pat vagia sesijos slapukus iš naršyklės, kurie gali atkartoti jūsų autorizuotą sesiją užpuoliko įrenginyje. Nors yra atnaujinimų, skirtų kovoti su tokia sesijos slapukų vagyste, tai išlieka didžiulė problema.
Šis sukčiavimo rinkinys nebrangus ir jau prieinamas slaptajame internete. Už beveii 2 tūkst. eurų pirkėjai gauna šešis mėnesius nuolatinių atnaujinimų, įgyja prieigą prie naujausių patobulinimų ir apėjimo būdų. Siekdama sustiprinti pasitikėjimą, „Astaroth“ prieš įsigydama siūlo testavimą, taip pademonstruodama savo teisėtumą kibernetinių nusikaltimų prekyvietėse.
Nepamirškite, kad nors daugelis sukčiavimo vilionių tebėra primityvios, dirbtinis intelektas tai keičia ir jas bus vis sunkiau aptikti. Patarimai yra aiškus – nespauskite nuorodų, nesinaudokite iššokančiais prisijungimo prie naudojamų platformų langais, išskyrus įprastus prisijungimo būdus. Jei jums reikia dar kartą patvirtinti tapatybę, pereikite į prisijungimo puslapį įprastais kanalais, niekada per nuorodą, nebent tai būtų nuoroda, kurios ką tik paprašėte įprastu kanalu.
