Ismét bekeményítettek az adathalászok

​Egy újabb veszélyes adathalász kampány indult az interneten, amely Microsoft és Google fiókokat veszélyeztet.
 

Az Okta biztonsági csoportja egy újabb adathalász támadássorozatra lett figyelmes, amelyet a kutatók alaposan kivizsgáltak. Az elemzéseik során arra a következtetésre jutottak, hogy az elkövetők úgynevezett AitM (adversary-in-the-middle) típusú, közbeékelődéses támadásokkal próbálnak hozzáférést szerezni az áldozataik felhasználói fiókjaihoz. Elsősorban a Microsoft és a Google fiókok iránt mutatnak kiemelt érdeklődést. 

A támadások hátterében egy VoidProxy nevű PhaaS (phishing-as-a-service) szolgáltatás áll, amelyet a kiberbűnözők fizetség ellenében vehetnek igénybe az internet sötét oldalán. Ennek segítségével különösebb technikai ismeretek nélkül is olyan megtévesztő, és kifinomult támadásokat indíthatnak, amik révén értékes adatok birtokába juthatnak.  

Az Okta szerint a mostani adathalász támadások is egy-egy elektronikus levéllel veszik kezdetüket, amelyek gyakorta feltört postafiókokból származnak. Amennyiben ebben a felhasználó rákattint a megadott linkre, akkor az alapértelmezett böngészőben a Google vagy a Microsoft meghamisított, de az eredetire megszólalásig hasonlító bejelentkező felülete jelenik meg. Ha ezen megadja a felhasználónevét (e-mail címét) és a jelszavát, akkor a háttérben különféle átirányítások történnek, aminek következtében proxy szolgáltatásokon keresztül a támadók beékelődhetnek a felhasználó és a Microsoft, illetve a Google közötti adatforgalomba. A proxy kiszolgáló először továbbítja a hitelesítési adatokat, majd fogadja a legitim szolgáltató válaszát, és az abban található munkameneti (cookie) információkat. Ezeket lemásolja a támadók számára, majd továbbítja a felhasználó felé.  

Az elkövetők több esetben az Okta megoldásait is igyekeznek kijátszani, de a vállalat közlése szerint ezt az Okta FastPass esetében nem tudják megtenni. Sőt az ilyen jellegű próbálkozásokról a felhasználó még egy figyelmeztető üzenetet is kap. 

A hasonló támadások kivédése érdekében nagyon fontos a biztonságtudatosság, és az e-mailekben szereplő linkek, illetve a webböngészők címsorában megjelenő URL-ek alapos ellenőrzése.