Vyhledávání...
Jak moderní phishingové metody obcházejí 2FA
Phishing

Jak moderní phishingové metody obcházejí 2FA

Jarek
Jarek
3 min read

Tady většinou jejich představa končí s tím, že se stačí jen trochu pečlivěji podívat na nabízenou mailovou adresu odesílatele, prozkoumat nabídnutou URL a případně ověřit samotnou stránku, jestli má nějaký certifikát. Ti pokročilejší se taky dovedou zamyslet nad logikou takového kroku a jestli vůbec může mít nějaké skutečné opodstatnění to, že po nich někdo něco takového chce („Přece je jasné, že když mně banka pošle někam, kde po mně bude chtít zadat kompletní údaje k platební kartě, tak jim na to neskočím…").

Sebevědomí je dobrá věc, ale phishing v takové průzračné podobě dnes provozují jen scriptkiddies nebo farmy jedoucí na kvantitu. Skutečně cílený phishingový útok totiž dnes vypadá úplně jinak.

Přesné cílení

V první řadě dochází k důkladnému průzkumu (reconnaissance), kdy se vytipovává okruh uživatelů, na které se bude cílit (např. jen určitá pobočka, oddělení nebo konkrétní jednotlivec). Zjišťují se používané technologie ve firmě, struktura e-mailů a podoba e-mailových podpisů, forma interní komunikace, zaměstnanecká struktura a konkrétní jména apod. Tyto informace se využijí při budování taktiky v rámci sociálního inženýrství, načež je stanovena forma útoku a vybrané cíle. Tohle všechno by vydalo na několik dalších článků (možná později), pojďme teď prozkoumat technickou stránku.

Jak se obchází dvoufaktorové ověřování

Dnešní sofistikované phishingové útoky už i kvůli stále rozšířenějšímu 2FA potřebují trochu lepší přístup, než jen nasadit někam falešný web.

Zpravidla proto využívají techniku MITM s reverzním proxy serverem, na kterém zachytí uživatelovu session a tím získají přístup k jeho účtu.

  1. útočník vytvoří proxy server reflektující opravdovou (cílovou) webovou stránku, zpravidla tedy stránku s přihlášením.
  2. odešle oběti e-mail s apelem (= výsledek reconnaissance a sociálního inženýrství) a odkazem směřujícím na útočníkův proxy server. K maskování URL adresy pak může použít další metody (více o tom píšu zde XXX). Oběť po kliknutí na odkaz odešle (nevědomky) požadavek na útočníkův proxy server a ten ihned v reakci na to odešle normální http GET požadavek na originální stránku, kdy odesílatelem však bude on sám. Vrácenou odpověď od originální stránky přepošle oběti.
  3. oběť má tak před sebou originální stránku, ale přes útočníkův proxy server, a zadá svoje přihlašovací údaje. Originální stránka na jejich základě odešle OTP nebo si vyžádá jinou formu autentizace a opět cestou přes útočníkův proxy server zobrazí uživateli stránku pro zadání kódu.
  4. oběť obdrží OTP, případně jde do autentizační aplikace pro kód. Ten pak zadá na připravené stránce a kód je pak obratem cestou přes útočníkův server odeslán do originální stránky služby.
  5. z pohledu služby je uživatel řádně verifikován a zasílá zpět session cookie nebo token. Ten zachytí útočníkův proxy server a pak je přepošle dál oběti.
  6. oběť nic netuší, protože z jejího pohledu došlo k řádnému přihlášení do účtu. Útočník mezitím v rámci otevřené session provede další akce, jako vykradení obsahu účtu, změna způsobu přihlašování, vložení vlastního SSH klíče apod., takže si může zachovat přístup do účtu i po skončení session (k tomu dojde kdykoliv se útočník nebo oběť od účtu odhlásí).

Jak je vidět, dvoufaktorové ověřování je nezbytným doplňkem primární metody (nejčastěji hesla), ale samo o sobě taky rozhodně nevyřeší všechno.

Používané nástroje

Tvorba takových phishingových reverzních proxy serverů navíc není relativně nijak složitá. Existují nástroje jako Evilginx, Modlishka, Muraena, EvilnoVNC, EvilProxy aj., které tvorbu takového serveru značně usnadní.

Za zmínku určitě stojí také nástroj Evilgophis, který kombinuje jak oblíbený nástroj pro tvorbu a správu phishingových kampaní Gophis, tak evil funkce reverzního proxy.

Jak podobný útok odhalit

Jelikož útočníkův proxy server musí veškeré požadavky nejenom přeposílat, ale také v nich měnit některé parametry jako jsou URL adresy v odkazech, cíle formulářů, relační cookies a http hlavičky, může být celá komunikace pomalejší, než je obvyklé.

Pečlivý uživatel si také může prozkoumat detaily vydaného SSL/TLS certifikátu pro danou doménu, z čehož by mohl zjistit nesrovnalosti (vydavatel, krátká platnost).

Prevence

Vzdělávání, jako vždycky. Technicky je pak účinným prostředkem používání řešení jako FIDO/WebAuthn nebo passkeys (více zde).

Newer post

Vybrané phishingové nástroje a služby

Vybrané phishingové nástroje a služby

Start the conversation

Related

Suricata - open-source engine, který vidí pod povrch síťového provozu
Phishing

Suricata - open-source engine, který vidí pod povrch síťového provozu

Suricata je skvělý nástroj, který můžete využít stejně dobře v domácí síti i v podnikovém prostředí. Díky důrazu na výkon, rozšiřitelnost a komunitní podporu se z ní stal oblíbený nástroj cybersecurity.

3 min read
Co je Wazuh a jak jej využít
Phishing

Co je Wazuh a jak jej využít

Wazuh je open-source bezpečnostní platforma s rozsáhlými možnostmi integrace a schopností nabídnout centralizovaný přehled o bezpečnostní situaci napříč celou infrastrukturou.

2 min read
Vybrané phishingové nástroje a služby
Phishing

Vybrané phishingové nástroje a služby

Pro lepší orientaci v některých článcích a tématech uvádím popis několika vybraných phishingových nástrojů.

3 min read