Beköltöztek az Azure-ba az adathalászok

​Újabb adathalász támadások indultak az interneten. Ezúttal a Microsoft ismertségével is visszaélnek a csalók.
 

A felhő alapú infrastruktúrák, szolgáltatások terjedése töretlenül zajlik, amiből - nem meglepő módon - a kiberbűnözés sem akar kimaradni. Minden alkalmat megragad arra, hogy a cloud computing adta lehetőségekkel visszaélhessen. A csalók a legutóbbi trükkjükkel a Microsoft Azure-ból igyekeznek lecsapni a potenciális áldozataikra.
 
A biztonsági szakemberek gyakorta hangoztatják, hogy bizalmas adatokat csak olyan weboldalon adjunk meg, amely HTTPS-alapú védelemmel is rendelkezik, azaz titkosított adatforgalmat tesz lehetővé. A HTTPS terjesztésére például a Google is komoly hangsúlyt fektet. Sőt a Chrome böngésző legújabb kiadásai a hagyományos, HTTP-alapú weblapokat már "nem biztonságos" megjelöléssel jelenítik meg.
 
Mivel a felhasználók tudatossága e téren folyamatosan növekszik, ezért az adathalászoknak is lépniük kellett. A csalásokra kiélezett weboldalaikat tanúsítványokkal kell felvértezniük ahhoz, hogy ne keltsenek feltűnést. És mi is lehetne megtévesztőbb, mint egy Microsoft által fémjelzett tanúsítvány - gondolhatták a kiberbűnözők.
 
A Netskope felhőbiztonsági cég szerint a csalókhoz is elért a hír, hogy a Microsoft Azure Blob Storage nevű, felhős adattároló szolgáltatása képes HTTP és HTTPS alapon is működni. Innentől pedig egyenes út vezetett ahhoz, hogy az adathalászok a webes tartalmaikat az Azure-on kezdjék publikálni. Ehhez ugyan hosszú, feltűnő URL-eket kellett generálniuk, de ha a felhasználó gyanakodni kezdett, és megnézte a tanúsítványt, akkor azt láthatta, hogy az a Microsofttól származik.
 
A trükk főleg az Azure AD és az Office 365 felhasználói számára lehetett igencsak megtévesztő. Ők egy ilyen támadás során egy e-mailt kapnak, amiben egy PDF-dokumentum található. Ha ezt megnyitják, akkor egy letöltésre buzdító dokumentum jelenik meg. Az ebben lévő link azonban nem egy PDF fájlra mutat, hanem az adathalászok Azure-ban létrehozott tárhelyére. Például:
https://onedriveunbound[...].blob.core.windows.net  
Ha a felhasználó rákattint a hivatkozásra, akkor egy Office-ra emlékeztető bejelentkező felület jelenik meg, mintha éppen az online Excel használatához kellene felhasználónevet és jelszót megadni. Csakhogy ennek a felületnek semmi köze sincs a Microsofthoz. Nem szolgál mást, mint hogy az itt megadott adatok rögtön az adattolvajokhoz kerüljenek. (A feltűnés kerülése érdekében a támadók az adatok megadását követően tovább irányítják a felhasználót egy legális Microsoft oldalra.)
 
A Netskope szakértői úgy látják, hogy az ilyen jellegű támadások ellen leginkább a felhasználók tájékoztatásával, oktatásával lehet védekezni. "A vállalatoknak meg kellene tanítaniuk a felhasználóknak, hogy miként ismerhetik fel az AWS, az Azure, stb. hivatkozásokat, és hogy ezáltal miként tudják megkülönböztetni a valós és a hamisított oldalakat egymástól" - vélekedtek a szakemberek.