EvilProxy – Phaas (phishing-as-a-service) zaobilazi MFA
Višefaktorska autentifikacija (MFA) je de facto standard za zaštitu od phishing napada. Međutim, kako usvajanje MFA raste, tako i napadači pokušavaju da ga zaobiđu.
Zlonamerni akteri sada koriste sve nedavno razvijene tehnike zaobilaženja MFA, nudeći phishing kao uslugu pretplate. Jedan takav primer se nedavno pojavio na Dark Web-u i zove se EvilProxy, kako je dokumentovao Resecurity.
Koristeći tehnike koje je prethodno dokumentovao Microsoft, EvilProxy koristi princip „obrnutog proksija“ (reverse proxy). Koncept koji stoji iza obrnutih proksija je jednostavan: zlonamerni akteri dovode žrtve do phishing web lokacije, a zatim koriste obrnuti proksi da bi preuzeli sadržaj koji korisnik očekuje od legitimnog sajta, uključujući stranice za prijavu. Na ovaj način, oni mogu prikupiti važeće kolačiće sesije (session cookie) i zaobići potrebu za autentifikacijom pomoću korisničkih imena, lozinki i/ili 2FA tokena.
Tehnika se takođe naziva phishing napad sa protivnikom u sredini (Adversary in the Middle ili AitM), i što je najvažnije, ne zahteva da napadač prethodno ima pristup računaru žrtve.
EvilProxy deluje baš kao legitimna usluga pretplate i veoma olakšava pokretanje sofisticiranih MFA zaobilaznih napada. Uključuje opcije plaćanja, razne pakete i "prodajne" aktivnosti na Dark Webu. Podržava phishing poznatih onlajn servisa kao što su Apple, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, Twitter, Yahoo, Yandex i drugi.
Takođe podržava MFA bypass za onlajn repozitorijume koda kao što je PyPI, koji je nedavno uključio MFA za neke od svojih najpopularnijih projekata, upravo zbog čestih phishing napada. Ponuda opcije zaobilaženja MFA na popularnim onlajn repozitorijumima kôda ukazuje na to da napadači ciljaju na programere softvera kako bi dobili pristup izvornom kodu koji se onda može izmeniti i na taj način kompromitovati lanac nabavke softvera.
Višefaktorska autentifikacija nije razbijena, ali tempo inovacija u phishing napadima je nemilosrdan i verovatno znači da će organizacije morati brzo da se prilagode. To znači više automatizovane obuke o svesti o bezbednosti (Security Awareness Training - SAT), kao i moderne Fast ID Online (FIDO) v2.0 autentifikatore i Identity-as-a-service (IDaaS) rešenja, koja nude inteligentnija i preciznija pravila prijave, posebno oko nepoznatih prijava iz neobičnih zemalja, doba dana, itd.
Pročitajte više o EvilProxy Phishing-as-a-service na Help Net Security.