EvilProxy – Phaas (phishing-as-a-service) zaobilazi MFA
Višefaktorska provjera autentičnosti (MFA) je de facto standard za zaštitu od phishing napada. Međutim, kako usvajanje MFA-a raste, tako ga i napadači pokušavaju zaobići.
Zlonamjerni akteri sada pretvaraju u proizvode sve nedavno razvijene tehnike zaobilaženja MFA, nudeći phishing kao uslugu pretplate. Jedan takav primjer nedavno se pojavio na Dark Webu i zove se EvilProxy, kako je dokumentirao Resecurity.
Koristeći tehnike koje je ranije dokumentirao Microsoft, EvilProxy koristi princip "reverse proxyja". Koncept koji stoji iza reverse proxyja je jednostavan: zlonamjerni akteri navode žrtve do phishing web stranice, zatim koriste reverse proxy za dohvaćanje sadržaja koje korisnik očekuje od legitimne stranice, uključujući stranice za prijavu. Na taj način mogu prikupljati valjane kolačiće sesije (session cookie) i zaobići potrebu za autentifikacijom korisničkim imenima, lozinkama i/ili 2FA tokenima.
Tehnika se također naziva phishing napad sa protivnikom u sredini (Adversary in the Middle ili AitM), a ključno je da zapravo ne zahtijeva da napadač ima prethodni pristup žrtvinom računalu.
EvilProxy djeluje baš kao legitimna pretplatnička usluga i čini vrlo jednostavnim pokretanje sofisticiranih MFA zaobilazećih napada. Uključuje opcije plaćanja, razne pakete i "prodajne" aktivnosti na Dark webu. Podržava poznate online usluge kao što su Apple, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, Twitter, Yahoo, Yandex i drugi.
Također, podržava MFA bypass za online repozitorije koda kao što je PyPI, koji je nedavno uključio MFA za neke od svojih najpopularnijih projekata, upravo zbog čestih phishing napada. Ponuda opcije zaobilaženja MFA na popularnim on-line repozitorijima kôda ukazuje da napadači ciljaju programere softvera kako bi dobili pristup izvornome kodu kojeg je zatim moguće kompromitirati i time ugroziti lanac nabave softvera.
Višefaktorska autentifikacija nije razbijena, ali tempo inovacija u phishing napadima je neumoljiv i vjerojatno znači da će se organizacije morati brzo prilagoditi. To znači više automatizirane obuke za podizanje svijesti o sigurnosti (Security Awareness Training - SAT), kao i modernih Fast ID Online (FIDO) v2.0 autentifikatora i Identity-as-a-service (IDaaS) rješenja, koja nude inteligentnija i preciznija pravila prijave, posebno oko nepoznatih prijava iz neobičnih zemalja, doba dana itd.
Pročitajte više o EvilProxy Phishing-as-a-service na Help Net Security.
![[Webinar] NIS2, CER, CRA - kako se snaći u šumi novih propisa o kibersigurnosti?](https://static.wixstatic.com/media/6681e7_73dcd91e1a2b4d428120b92ad9214dce~mv2.jpg/v1/fill/w_305,h_305,fp_0.50_0.50,q_90,enc_auto/6681e7_73dcd91e1a2b4d428120b92ad9214dce~mv2.jpg)
