Автоматизированный фишинг

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.320
Репутация
11.800
Реакции
62.011
RUB
50
Исследователи обнаружили в Telegram фишинговый маркетплейс под названием ONNX.

Открывающий киберпреступникам доступ к инструментарию для угона аккаунтов Microsoft 365, в том числе и к методам обхода двухфакторной аутентификации. Благодаря этому злоумышленники могут поставить на поток фишинговые атаки на почтовые учетные записи Microsoft 365 и Office 365. Сотрудникам ИБ-отделов компаний стоит учитывать эту угрозу и уделять особенно пристальное внимание антифишинговой защите. Рассказываем о данной угрозе подробнее.

phishing-as-a-service-onnx-marketplace-featured.jpg

Вредоносное вложение с QR-кодом и обход двухфакторной аутентификации

Исследователи описали пример атаки с использованием инструментов фишингового маркетплейса ONNX, которая проводилась на сотрудников нескольких финансовых учреждений. Для начала жертвы получали электронные письма, якобы отправленные отделом кадров, а в качестве наживки использовалась тема зарплаты получателя.

Письма содержали вложенные PDF-файлы, внутри которых содержится QR-код, который надо отсканировать, чтобы получить доступ к «защищенному документу» с заветной информацией о зарплате. Идея тут в том, чтобы заставить жертву открыть ссылку не на рабочем компьютере, на котором, скорее всего, работает антифишинговая защита, а на смартфоне, где такая защита вполне может и не быть.

По ссылке открывается фишинговый сайт, который притворяется страницей входа в аккаунт Microsoft 365. Здесь жертву просят ввести сначала логин и пароль, а потом и одноразовый код двухфакторной аутентификации.


На поддельной странице входа в аккаунт Microsoft жертву просят ввести логин, пароль и одноразовый код двухфакторной аутентификации

Вся эта информация, естественно, отправляется прямиком к злоумышленникам. Одноразовые коды двухфакторной аутентификации обычно имеют крайне небольшой срок годности — как правило, это 30 секунд. Поэтому для ускорения доставки информации создатели фишинг-кита используют протокол WebSocket, обеспечивающий быструю коммуникацию в режиме реального времени.

Получив логин, пароль и одноразовый код, злоумышленники немедленно, пока код еще действителен, используют эти данные для входа в аккаунт и таким образом получают полный доступ к переписке жертвы. Далее этот доступ может быть использован, например, для BEC-атак (business e-mail compromise).

Phishing-as-a-Service: все для рыбалки и охоты

Центром операций этого фишингового сервиса, как уже было сказано выше, является Telegram. Создатели ONNX вовсю пользуются возможностями автоматизации — все взаимодействие с покупателями происходит через Telegram-боты.

Фишинговые услуги злоумышленники предоставляют по подписке. Цены достаточно невысокие: например, месячная подписка на сбор паролей от аккаунтов Microsoft 365 без обхода двухфакторной аутентификации обойдется в $200, а с перехватом кодов 2FA — в $400.

Такие расходы могут себе позволить даже мелкие киберпреступники. При этом при небольших вложениях они получают доступ к весьма эффективным фишинговым сервисам — все, что им остается, это выбрать подходящую цель и придумать схему монетизации.

Как защитить организацию от продвинутых фишинговых атак

Собственно, это и делает Phishing-as-a-Service опасной угрозой: такая модель существенно расширяет диапазон атакующих, которые имеют в своем распоряжении серьезные инструменты. Поэтому надо учитывать возможность атаки на вашу организацию с использованием продвинутых фишинговых сервисов и заботиться о защите от них.

Вот что мы тут можем посоветовать:
  • Рассмотрите возможность использования для двухфакторной аутентификации аппаратные устройства FIDO U2F (также известные как Yubikey) или ключи доступа (passkeys). Эти инструменты сводят на нет эффективность даже самого искусного и незаметного человеческому глазу фишинга.

  • Используйте на всех корпоративных устройствах, включая смартфоны и планшеты, надежное решение с инструментами защиты от фишинга.

  • Чтобы научить сотрудников правильно реагировать на подозрительные письма, регулярно проводите тренинги по информационной безопасности.


 
  • Теги
    вредоносное вложение фишинг в telegram фишинговый маркетплейс
  • Сверху Снизу