- Sep 12, 2022

EvilProxy – Phaas (phishing-as-a-service) zaobilazi MFA

Višefaktorska autentifikacija (MFA) je de facto standard za zaštitu od phishing napada. Međutim, kako usvajanje MFA raste, tako i napadači pokušavaju da ga zaobiđu.

Zlonamerni akteri sada koriste sve nedavno razvijene tehnike zaobilaženja MFA, nudeći phishing kao uslugu pretplate. Jedan takav primer se nedavno pojavio na Dark Web-u i zove se EvilProxy, kako je dokumentovao Resecurity.

Koristeći tehnike koje je prethodno dokumentovao Microsoft, EvilProxy koristi princip „obrnutog proksija“ (reverse proxy). Koncept koji stoji iza obrnutih proksija je jednostavan: zlonamerni akteri dovode žrtve do phishing web lokacije, a zatim koriste obrnuti proksi da bi preuzeli sadržaj koji korisnik očekuje od legitimnog sajta, uključujući stranice za prijavu. Na ovaj način, oni mogu prikupiti važeće kolačiće sesije (session cookie) i zaobići potrebu za autentifikacijom pomoću korisničkih imena, lozinki i/ili 2FA tokena.

Tehnika se takođe naziva phishing napad sa protivnikom u sredini (Adversary in the Middle ili AitM), i što je najvažnije, ne zahteva da napadač prethodno ima pristup računaru žrtve.

Prikaz phishing napada sa reverse proxy-em. Izvor: Microsoft 365 Defender Research Team (blog)

EvilProxy deluje baš kao legitimna usluga pretplate i veoma olakšava pokretanje sofisticiranih MFA zaobilaznih napada. Uključuje opcije plaćanja, razne pakete i "prodajne" aktivnosti na Dark Webu. Podržava phishing poznatih onlajn servisa kao što su Apple, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, Twitter, Yahoo, Yandex i drugi.

Takođe podržava MFA bypass za onlajn repozitorijume koda kao što je PyPI, koji je nedavno uključio MFA za neke od svojih najpopularnijih projekata, upravo zbog čestih phishing napada. Ponuda opcije zaobilaženja MFA na popularnim onlajn repozitorijumima kôda ukazuje na to da napadači ciljaju na programere softvera kako bi dobili pristup izvornom kodu koji se onda može izmeniti i na taj način kompromitovati lanac nabavke softvera.

Višefaktorska autentifikacija nije razbijena, ali tempo inovacija u phishing napadima je nemilosrdan i verovatno znači da će organizacije morati brzo da se prilagode. To znači više automatizovane obuke o svesti o bezbednosti (Security Awareness Training - SAT), kao i moderne Fast ID Online (FIDO) v2.0 autentifikatore i Identity-as-a-service (IDaaS) rešenja, koja nude inteligentnija i preciznija pravila prijave, posebno oko nepoznatih prijava iz neobičnih zemalja, doba dana, itd.

Pročitajte više o EvilProxy Phishing-as-a-service na Help Net Security.