Количество фишинговых инструментов для обхода 2FA возросло до 1,2 тыс.
28/12/21
Группа исследователей из Университета Стоуни-Брук и ИБ-фирмы Palo Alto Networks обнаружила более 1,2 тыс. наборов фишинговых инструментов, позволяющих киберпреступникам обходить коды безопасности с двухфакторной аутентификацией (2FA).
Фишинговые инструменты MitM (Man-in-the-Middle) стали чрезвычайно популярными в киберпреступном мире в последние годы после того, как крупные технологические компании начали делать 2FA функцией безопасности обязательной для своих пользователей. Злоумышленники, которым удалось обманом заставить пользователя ввести учетные данные на фишинговом сайте, обнаружили, что украденные учетные данные стали бесполезными, поскольку они не могли обойти процедуру 2FA.
Для противостояния новой тенденции хакеры начали внедрять новые инструменты, которые позволили бы им обходить 2FA путем кражи cookie-файлов аутентификации пользователя. В течение последних нескольких лет киберпреступники медленно адаптируют свои старые инструменты для фишинга для обхода процедур 2FA, в основном с помощью двух методов — real-time phishing («фишинг в реальном времени») и наборов фишинговых инструментов MitM. Первый способ полагается на оператора, сидящего перед web-панелью, в то время как пользователь перемещается и взаимодействует с фишинговым сайтом. Фишинговые комплекты, в свою очередь, адаптированы для работы в качестве обратных прокси-серверов, которые ретранслируют трафик между жертвой, фишинговым сайтом и легитимным сервисом.
Многие из этих наборов фишинговых инструментов MitM основаны на инструментах, разработанных исследователями безопасности, такими как Evilginx, Muraena и Modlishka.
Эксперты проанализировали 13 версий этих трех наборов фишинговых инструментов MitM и создали цифровые отпечатки пальцев для web-трафика, который проходит через мошеннические ресурсы. Они использовали свои выводы для разработки инструмента под названием PHOCA , который мог определять, использует ли фишинговый сайт обратный прокси-сервер.
В период с марта 2020 года по март 2021 года они отправляли PHOCA URL-адреса, которые сообщество кибербезопасности помечало как фишинговые. По результатам исследования, 1220 из помеченных сайтов использовали наборы инструментов для фишинга MitM. Это значительный скачок по сравнению с примерно 200 фишинговыми сайтами, использующими обратные прокси-серверы в конце 2018 года и начале 2019 года.
Причина такой популярности может быть связана с тем фактом, что большинство из них можно загрузить бесплатно, легко запустить, а на хакерских форумах есть множество учебных руководств и предложений сотрудничества.