Uwierzytelnianie wieloskładnikowe stało się standardową metodą podnoszącą poziom bezpieczeństwa logowania, niestety zestawy phishingowe również ewoluują wraz z czasem, posiadając zdolność do wykradania tokenów uwierzytelniających i możliwość ominięcia tej warstwy bezpieczeństwa. Przestępcy stosują zestawy phishingowe, które wykorzystują przezroczysty, odwrotny serwer proxy (TRP), który umożliwia im zestawienie sesji przeglądarki typu „man-in-the-middle” (MitM) wraz z tym następuje kradzież danych uwierzytelniających i plików cookie danej sesji w czasie rzeczywistym. Jest to duże odejście od tradycyjnego phishingu, który polega na tworzeniu przez atakujących witryn naśladujących, rzeczywistą stronę np. logowania do systemu Windows, aby nakłonić cel do wprowadzenia swoich danych uwierzytelniających. To tradycyjne podejście pozostawia wiele miejsca na wprowadzenie czerwonych flag, takich jak przestarzałe logo, słaba składnia, błędy ortograficzne i tym podobne, wskazuje Proofpoint. Zestawy TRP pokazują „faktyczną stronę internetową ofiary”. Nowoczesne strony internetowe są dynamiczne i często się zmieniają. Dlatego przedstawienie rzeczywistej witryny znacznie wzmacnia iluzję, że dana osoba loguje się bezpiecznie”. W międzyczasie osoby atakujące będą pozyskiwać pliki cookie, które następnie mogą zostać wykorzystane przez podmiot zajmujący się zagrożeniem, aby uzyskać dostęp do docelowego konta bez konieczności podawania nazwy użytkownika, hasła lub tokena MFA. Proofpoint powiedział, że istnieją w szczególności trzy zestawy TRP, które ostatnio odnotowały wzrost użycia.
Zestawy phishingowe z odwrotnym serwerem proxy
Modlishka
Polski badacz bezpieczeństwa Piotr Duszyński opracował Modliszkę i opublikował ją w grudniu 2018 r. na github.com. To stosunkowo proste narzędzie umożliwia phishing jednej witryny na raz, posiada interfejs wiersza poleceń i zapewnia cyberprzestępcy przydatny GUI do pobierania poświadczeń i informacji o sesji. Modlishka integruje również Let’s Encrypt, dzięki czemu fałszywa strona docelowa domeny może być nieco bardziej wiarygodna, szyfrując ruch i zapewniając małą kłódkę na pasku. Modlishka jest w stanie przechwycić sesję ofiary, nawet gdy używana jest technologia, taka jak uwierzytelnianie powiadomień push w Duo.
Muraena/Nekroprzeglądarka
Muraena/Necrobrowser, wydana po raz pierwszy w 2019 roku, to zestaw składający się z dwóch części- według Proofpoint. Pierwsza część to Muraena, „działa po stronie serwera i wykorzystuje robota indeksującego do skanowania docelowej witryny, aby upewnić się, że może poprawnie przepisać cały potrzebny ruch, aby nie ostrzegać ofiary” – wyjaśniają badacze Proofpoint. Przechwytuje dane uwierzytelniające ofiary i plik cookie sesji, a następnie wdraża Necrobrowser. „Necrobrowser to przeglądarka, bez interfejsu graficznego użytkownika, służy do automatyzacji, wykorzystuje skradzione pliki cookie sesji do logowania się na docelowej stronie i wykonywania takich czynności, jak zmiana haseł, wyłączanie powiadomień Google Workspace, zastępowanie wiadomości e-mail, zmiana kluczy sesji SSH w GitHub i pobiera wszystkie repozytoria kodu”- według Proofpoint.
Evilginx2 to łatwy w użyciu, przejrzysty reverse proxy napisany w języku Golang przez badacza bezpieczeństwa i programistę Kubę Gretzky’ego. Jego cechą charakterystyczną jest łatwa konfiguracja i możliwość korzystania z preinstalowanych „phishletów”, które są plikami konfiguracyjnymi yaml, ich silnik używa je do konfigurowania serwera proxy do witryny docelowej. „Korzystając z phishletów, można skonfigurować serwer do phishingu wielu marek jednocześnie” — twierdzi Proofpoint. „Evilginx2 umożliwia również skonfigurowanie niestandardowej subdomeny i adresu URL strony docelowej dla każdego z nich”.
Gdy ofiara kliknie złośliwy link, zostaje przeniesiona na bezpieczną stronę, aby się zalogować, gdzie atakujący przejmują dane uwierzytelniające, kody MFA i pliki cookie sesji. Według Proofpoint „ofiara albo jest przekierowywana na inną stronę, albo może przejść do tej strony”. „Zagrożenie może następnie użyć skradzionego pliku cookie sesji, aby zalogować się jako ofiara, gdzie może wykonać wiele działań, takich jak zmiana hasła, kopiowanie danych lub udawanie ofiary”. Chociaż te narzędzia nie są nowe, to są coraz częściej używane do omijania MFA, zauważa Proofpoint, jest tobardzo niepokojące zjawisko, biorąc pod uwagę brak ich wykrywania. Badacze ze Stony Brook University i Palo Alto Networks opracowali narzędzie, którym udało się zidentyfikować 1200 stron phishingowych MitM. Jednak tylko 43,7 procent tych domen i 18,9 procent ich adresów IP pojawiło się w VirusTotal – mimo że ich żywotność wynosi do 20 lub więcej dni. „Ponieważ coraz więcej firm podąża za przykładem Google i zaczyna wymagać użycia MFA, cyberprzestępcy szybko przejdą na rozwiązania takie jak te zestawy MitM” – twierdzą naukowcy. „Są one łatwe do wdrożenia, bezpłatne w użyciu i okazały się skuteczne w unikaniu wykrycia. Branża musi przygotować się do radzenia sobie z takimi martwymi punktami, zanim będą mogły ewoluować w nowych, nieoczekiwanych kierunkach”. Prawdopodobnie co raz więcej cyberprzestępców zacznie stosować tę metodę phishingu MitM, przez co skuteczne bezpieczeństwo będzie coraz większym wyzwaniem. Warto rozważyć wdrożenie rozwiązań w oparciu o klucze bezpieczeństwa U2F.