EvilTokens nie je klasický phishing: Do tvojho účtu Microsoft 365 sa môže hacker dostať aj bez tvojho hesla

EvilTokens zneužíva prihlasovacie kódy Microsoftu. Stačí potvrdiť kód na oficiálnej stránke a útočník môže získať prístup k účtu Microsoft 365.

Microsoft uvoľnil bezplatnú desktop verziu základných Office aplikácií
Zdroj: Unsplash (Ed Hardie), Pixabay (Clker-Free-Vector-Images), Úprava: Vosveteit.sk

Kyberzločinci neustále hľadajú nové spôsoby, ako sa dostať do cudzích účtov. Klasické phishingové stránky, ktoré od teba žiadajú meno a heslo, už dnes veľa ľudí rozpozná. Objavil sa však nový trik s názvom EvilTokens, ktorý funguje úplne inak. Útočník tvoje prihlasovacie údaje vôbec nepotrebuje, stačí mu, aby si potvrdil zobrazený kód, a môže získať prístup k tvojmu kontu Microsoft 365.

Na nový spôsob útoku upozornili odborníci zo spoločnosti ANY.RUN. Podľa ich analýzy sa škodlivá kampaň zameriava na užívateľov v Spojených štátoch a po celej Európe. Bezpečnostní analytici vysvetľujú, že cez kompromitovaný účet Microsoft 365 sa môže útočník dostať k citlivým dokumentom, e-mailom a novým cieľom.

Odoberaj Vosveteit.sk cez Telegram a prihlás sa k odberu správ

Na rozdiel od klasického phishingu útočník nevytvorí falošnú prihlasovaciu stránku, kde obeť zadá meno a heslo. EvilTokens zneužije úplne legitímnu funkciu Microsoftu s názvom Device Code Login. Táto funkcia slúži napríklad na prihlasovanie televízorov, herných konzol alebo zariadení bez klávesnice. Používateľ dostane krátky kód, ktorý prepíše na oficiálnu stránku Microsoftu. Po potvrdení sa zariadenie prihlási do účtu.

V prípade EvilTokens útoku hackeri obeti zobrazia prihlasovací kód a presvedčia ju, aby ho zadala na oficiálnom webe Microsoftu. Používateľ tak získa pocit úplnej bezpečnosti, pretože sa neprihlasuje na podozrivej stránke, no v skutočnosti však autorizuje prístup útočníkovi.

Bezpečnostní analytici upozorňujú na kampaň EvilTokens, ktorá zneužíva legitímne nástroje Microsoftu
Zdroj: ANY.RUN

Práve preto môže útok pôsobiť oveľa dôveryhodnejšie než klasické phishingové kampane.

EvilTokens využíva systémy, ktoré zmätú automatické kontroly stránok

Ďalším problémom je samotná technická stránka útoku. Phishingová stránka totiž po načítaní neukáže všetok svoj obsah naraz. Najdôležitejšia časť zostane zašifrovaná algoritmom AES-GCM. Prehliadač ju dešifruje až počas otvorenia stránky, čo znamená, že mnohé bezpečnostné systémy pri obyčajnej kontrole odkazu nič podozrivé nenájdu.

Nebezpečný obsah sa objaví až po otvorení stránky v internetovom prehliadači. Práve preto odborníci hovoria o takzvanom „ghost“ kóde, teda akomsi duchovi ukrytom vo vnútri stránky. Bežná analýza ho jednoducho neuvidí. Ak bezpečnostný tím pracuje iba so statickou kontrolou webovej adresy, môže útok vyhodnotiť ako neškodný. Skutočné nebezpečenstvo sa objaví až počas spustenia stránky.

Takýto spôsob útoku spôsobuje problém najmä počas analýzy útoku. Ak analytici nevidia, čo stránka po otvorení skutočne vykoná, vyšetrovanie trvá podstatne dlhšie. Medzitým môže útočník získať viac citlivých informácií.

Podľa analýzy ANY.RUN môže takáto situácia viesť k dlhšiemu prístupu útočníka do účtu, pomalšej reakcii alebo neúplnému zablokovaniu celej škodlivej infraštruktúry.

Výskumníci analyzovali EvilTokens v špeciálnom prostredí, ktoré dokáže sledovať správanie internetového prehliadača krok po kroku. Po otvorení stránky zachytili okamih, keď sa zašifrovaný obsah dešifroval. Následne sledovali komunikáciu stránky so serverom útočníka. Práve v tomto momente stránka získala jednorazový prihlasovací kód, ktorý následne zobrazila obeti.

Výskumníci potom sledovali ďalšiu komunikáciu medzi stránkou a serverom. Stránka pravidelne kontrolovala, či používateľ už zadal zobrazený kód na oficiálnom webe Microsoftu. Po úspešnom potvrdení stránka automaticky presmerovala obeť na skutočný OneDrive. Používateľ tak často nadobudne pocit, že celý proces prebehol úplne správne. V tom čase však útočník už získal oprávnenie na prístup k účtu.

Odborníci preto odporúčajú venovať pozornosť aj prihlasovacím kódom, nielen klasickým prihlasovacím formulárom.

phishing
Zdroj: wk1003mike / shutterstock.com

Viacerí hackeri sa môžu kampaňou EvilTokens inšpirovať, podobnú techniku videli odborníci aj pri iných phishingových balíkoch

Výskumníci upozorňujú, že EvilTokens nie je jediný nástroj využívajúci tento princíp. Rovnakú techniku začínajú používať aj ďalšie phishingové balíky. Útočníci totiž zistili, že zneužitie dôveryhodných prihlasovacích mechanizmov prináša vyššiu úspešnosť než tradičné kradnutie hesiel. Navyše sa takýto útok odhaľuje podstatne ťažšie.

Pre bežných používateľov z toho vyplýva jednoduché pravidlo. Ak ti niekto pošle prihlasovací kód a požiada ťa o jeho potvrdenie, vždy si over, odkiaľ pochádza a prečo ho vôbec zadávaš. Aj keď stránka patrí priamo Microsoftu, samotný kód môže pochádzať od útočníka, ktorý sa pokúša získať prístup k tvojmu účtu.

Google News Pridajte si Vosveteit.sk ako preferovaný zdroj informácií na Google Pridať