top of page

EvilProxy – Phaas (phishing-as-a-service) zaobilazi MFA

Višefaktorska autentifikacija (MFA) je de facto standard za zaštitu od phishing napada. Međutim, kako usvajanje MFA raste, tako i napadači pokušavaju da ga zaobiđu.

Zlonamjerni akteri sada koriste sve nedavno razvijene MFA bypass tehnike, nudeći phishing kao uslugu pretplate. Jedan takav primjer se nedavno pojavio na Dark Webu i zove se EvilProxy, kako je dokumentirao Resecurity.


Koristeći tehnike koje je prethodno dokumentovao Microsoft, EvilProxy koristi princip "reverse proxy". Koncept koji stoji iza obrnutih proksija je jednostavan: zlonamjerni akteri dovode žrtve do phishing web stranice, a zatim koriste reverse proxy za preuzimanje sadržaja koji korisnik očekuje od legitimne stranice, uključujući stranice za prijavu. Na taj način mogu prikupiti važeće kolačiće sesije (session cookie) i zaobići potrebu za autentifikacijom pomoću korisničkih imena, lozinki i/ili 2FA tokena.

Tehnika se takođe naziva phishing napadom sa protivnikom u sredini (Adversary in the Middle ili AitM), i što je najvažnije, ne zahteva da napadač ima prethodni pristup računaru žrtve.


Prikaz phishing napada sa reverse proxy-em. Izvor: Microsoft 365 Defender Research Team (blog)

EvilProxy djeluje baš kao legitimna pretplatnička usluga i čini vrlo lakim pokretanje sofisticiranih MFA zaobilaznih napada. Uključuje opcije plaćanja, razne pakete i "prodajne" aktivnosti na Dark Webu. Podržava poznate online servise kao što su Apple, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, Twitter, Yahoo, Yandex i drugi.

Takođe podržava MFA bypass za onlajn riznice kodova kao što je PyPI, koji je nedavno uključio MFA za neke od svojih najpopularnijih projekata, upravo zbog čestih phishing napada. Ponuda opcije zaobilaženja MFA na popularnim online repozitorijumima kôda ukazuje na to da napadači ciljaju na programere softvera kako bi dobili pristup izvornom kodu koji se onda može kompromitovati i na taj način kompromitovati lanac nabavke softvera.


Višefaktorska autentifikacija nije prekinuta, ali tempo inovacija u phishing napadima je nemilosrdan i vjerovatno znači da će organizacije morati brzo da se prilagode. To znači automatiziraniju obuku o svijesti o sigurnosti (Security Awareness Training - SAT), kao i moderne Fast ID Online (FIDO) v2.0 autentifikatore i Identity-as-a-service (IDaaS) rješenja, koja nude inteligentnija i preciznija pravila prijave, posebno oko nepoznatih prijava iz neobičnih zemalja, doba dana itd.


Pročitajte više o EvilProxy Phishing-as-a-service na Help Net Security.

Comments


Latest news

bottom of page