Így veri át az adathalászokat a Microsoft

A Microsoft elárulta, hogy több ezer olyan felhasználói fiókot tart fenn Azure-os környezetben, amelyek kifejezetten az adathalászok csőbe húzására szolgálnak.
 

Az úgynevezett honeypotok (mézesbödönök) alkalmazása a kibervédelemben korántsem új keletű találmány. Ezeket már régóta használják különféle formákban a biztonsági szakemberek annak érdekében, hogy a valódi (éles) IT-környezetek helyett ezekbe tereljék a támadásokat.
 
A Microsoft egyik biztonsági csoportja úgy határozott, hogy a honeypot alapú megközelítést jelentős mértékben megtámogatja Azure-os erőforrásokkal, hogy minden korábbinál intenzívebben tudja bevetni a csalók megtévesztésére szolgáló technikát.
 
Az Azure-os honeypotokról Ross Bevington, a Microsoft egyik vezető biztonsági szakértője számolt be a BSides Exeter konferencián. Elmondta, hogy teljesen valós kinézetű tenantokat hoztak létre Azure-ban annak érdekében, hogy minél több információt tudjanak gyűjteni az adathalászattal kapcsolatban. A legfontosabb célok a következők:

• napjaink kifinomult adathalász támadásainak mély szintű feltérképezése és megértése
• adathalász kampányok megakadályozása
• kiberbűnözők azonosítása
• az adathalász támadások lelassítása

 
Bevington elmondta, hogy a honeypotok alapjául olyan Azure-os profilok szolgálnak, amelyekhez egyedi domain nevek tartoznak esetenként több ezer kamu felhasználói fiókkal, valamint szintén mondvacsinált belső kommunikációval és fájlmegosztásokkal. Ugyanakkor ezek "kifelé" teljesen valós tenantoknak látszanak. Ezekre igyekeznek rávezetni az adathalászokat, és ha "kapás van", akkor részletes naplózás mellett követik végig a csalók ténykedését. A szakember szerint az esetek 5 százalékában jutnak el a támadók addig, hogy bejelentkeznek egy-egy honeypot fiókba. Ekkor a Microsoft olyan adatokat gyűjt róluk, mint például az IP-cím, a webböngésző típusa, földrajzi helyinformációk, VPN-adatok, alkalmazott adathalász eszközkészletek stb.