Adversary-in-the-Middle: эволюция фишинга. Колонка Дениса Макрушина

Содержание статьи

• Чей-то браузер посередине: инструменты BitM-фишинга
• Обход многофакторной аутентификации с помощью Reverse Web Proxy
• Как защититься: расставляем ловушки с помощью JS- и CSS-канареек
• Выявляем фишинговые ресурсы с помощью нечеткого хеширования

Ти­пич­ный сце­нарий соци­отех­ничес­кого пен­теста: соб­рал спи­сок кор­поратив­ных email-адре­сов, нас­тро­ил инс­тру­мент для про­веде­ния фишин­говых рас­сылок, про­вел рас­сылку, получил учет­ные дан­ные сот­рудни­ков для дос­тупа в кор­поратив­ную инфраструк­туру.

Этот же сце­нарий харак­терен для мно­гих целевых атак. Где‑то еще работа­ет, но теря­ет свою эффектив­ность по мере внед­рения прог­рамм повыше­ния осве­дом­леннос­ти, тех­нологий филь­тра­ции поч­тового кон­тента и мно­гофак­торной аутен­тифика­ции (MFA).

MFA не дает ата­кующе­му вос­поль­зовать­ся укра­ден­ной учет­кой, потому что для дос­тупа к дан­ным тре­бует­ся вто­рой фак­тор, который оста­ется у сот­рудни­ка. Для обхо­да средств MFA ата­кующий смес­тил фокус с кра­жи пароля на кра­жу поль­зователь­ской сес­сии. Так появи­лись ата­ки Adversary-in-the-Middle (AitM).

Тех­ники AitM осно­ваны на исполь­зовании прок­си‑инс­тру­мен­тов, сто­ящих меж­ду жер­твой и пор­талом для логина (нап­ример, SSO-пор­талом: Okta, Google Workspace и так далее). То есть поль­зователь видит реаль­ную стра­ницу для логина, но где‑то меж­ду поль­зовате­лем и этой стра­ницей ата­кующий получа­ет под свой кон­троль поль­зователь­скую сес­сию. И даже не нуж­но красть пароль от учет­ной записи, потому что поль­зователь­ские сес­сии могут оста­вать­ся активны­ми боль­ше месяца.

Схе­ма AitM-ата­ки 

Чей-то браузер посередине: инструменты BitM-фишинга

Для про­веде­ния AitM-фишин­га сущес­тву­ют две основные тех­ники: Browser-in-the-Middle (BitM) и Reverse Web Proxy.

Тех­ника «бра­узер посере­дине» осно­вана на интегра­ции инфраструк­туры ата­кующе­го в соеди­нение меж­ду бра­узе­ром жер­твы и целевым веб‑при­ложе­нием. Как толь­ко жер­тва перей­дет по фишин­говой ссыл­ке, ата­кующий нап­равит ее бра­узер на свою плат­форму, которая будет перенап­равлять все зап­росы к ори­гиналь­ному веб‑ресур­су. И заод­но перех­ватывать дан­ные в этом соеди­нении.

Источник: xakep.ru