Gmail už nie je taký bezpečný, ako býval! Hackeri dokážu po novom ukradnúť tvoje heslo aj s dvojfázovým overením. Takto to robia
Bezpečnostní analytici sledujú kampaň Astaroth, ktorá dokáže desivo rýchlo získať prístup k emailovým účtom obetí.
Kyberzločinci nikdy nespia a deň čo deň svoje phishingové útoky vyvíjajú. Modernejšie kyberzločinecké nástroje sú navrhnuté špeciálne tak, aby dokázali obísť čoraz sofistikovanejšie bezpečnostné mechanizmy.
Bezpečnostní analytici zo SlashNext odhalili jednu z novších phishingových kampaní, ktorá ako jedna z mála používa nový druh funkcií, ktoré jej dovoľujú obísť aj dvojfaktorové overenie. To dokážu hackeri pomocou session hijacking metódy a zachyteniu posielania prihlasovacích údajov v reálnom čase.
Ide o kampaň, ktorú bezpečnostní analytici nazývajú Astaroth a objavila sa začiatkom tohto roka, presnejšie v januári 2025. Táto kampaň využíva evilginx štýl reverzného proxy na zachytenie premávky medzi zariadeniami obete a legitímnymi autentifikačnými službami ako Gmail, Yahoo a iné. Dôležité je vysvetliť, že reverzné proxy je sprostredkovateľský server, ktorý sa tvári ako cieľová služba, no v skutočnosti len preposiela tvoje údaje útočníkovi. Ty si pritom myslíš, že komunikuješ s originálnou stránkou.
Keď sa prihlasujeme do mailového klienta, naše zariadenie odošle informáciu s našimi prihlasovacími údajmi na server služby, do ktorej sa prihlasujeme. Tento balík informácií dokáže hacker zachytiť, podobne ako keby si si s kamarátom hádzal loptičku a niekto vojde medzi vás a túto loptičku chytí.
Ide o útok, ktorý sa nazýva Man-in-the-Middle a v reálnom čase dokáže zachytiť nielen prihlasovacie údaje, ale aj tokeny alebo súbory cookies. Popri tom sa dokáže vyhnúť dvojfaktorovému overeniu.
Neprehliadni
“Astaroth sa líši od iných phishingových útokov tým, že okrem zachytenia prihlasovacích údajov dokáže rapídne zachytiť aj 2FA tokeny a súbory cookies, počas toho ako sú generované. Vďaka tomu dokážu obísť túto robustnú bezpečnostnú “bránu” s presnosťou a neuveriteľnou rýchlosťou,” vysvetľujú bezpečnostní analytici.
Pre porovnanie, bežné phishingové útoky sa spoliehajú na statické falošné prihlasovacie stránky. Cez ne sa hackeri dostávajú len k primárnym prihlasovacím údajom. V praxi to znamená, že hoci získajú tvoje prihlasovacie meno a heslo, dvojfaktorové overenie ich zastaví.
Astaroth ale dvíha latku svojou schopnosťou zachytiť všetky autentifikačné dáta v reálnom čase. Tento útok totiž dokáže uspieť aj tam, kde tradičný phishing zlyháva.
Ako útok Astaroth prebieha?
Útok sa začína, keď obeť klikne na falošný URL odkaz. Ten ju presmeruje na škodlivú stránku, ktorá slúži ako reverzné proxy. Táto stránka má rovnaký dizajn ako stránka legitímnej služby a vyznačuje sa aj totožnou funkcionalitou. Popri tom ale posiela hackerom všetky údaje o tom, čo užívateľ na tejto stránke robí, vrátane prihlasovacích údajov, 2FA tokenov a cookies.
Po zadaní prihlasovacích údajov Astaroth zachytí všetky dáta ešte skôr, ako ich pošle na legitímny server. V rámci útoku dokážu hackeri replikovať to, ako by vyzeralo užívateľské prostredie, čím znižujú šance na odhalenie.
Malvér dokáže zachytiť všetky potrebné údaje
Astaroth zároveň počká, kým užívateľ potvrdí dvojfaktorové overenie. V momente potvrdenia však vytvorený token zachytáva. Posledný krok útoku zahŕňa zachytenie súborov cookies. Tie vznikajú v momente, keď legitímny server overí autentickosť užívateľa. Opäť platí, že Astaroth dokáže zachytiť súbory cookies a posiela ich útočníkovi.
Spojením týchto krokov sa stane to, že hacker dokáže úplne obísť dvojfaktorové overenie a dokáže preniknúť do tvojej mailovej schránky. Bezpečnostní experti vysvetľujú, že útoky Astaroth prebiehajú v Gmaili a na ostatných populárnych emailových službách.
Hacker, ktorý dokáže získať prístup do tvojej mailovej schránky, má ideálnu pozíciu na to, aby zaútočil aj na ďalšie tvoje účty. V mailových schránkach môžeme mať informácie, ktoré by mohol hacker využiť na napadnutie našich ďalších účtov. Rovnako by mohol cez náš mail skúsiť zaútočiť phishingom aj na naše kontakty. Ak niekomu totiž príde email zo známej adresy, oveľa ľahšie prehliadne potenciálne varovné signály.
Ak máš v e-maili uložené napr´klad prístupové údaje od PayPalu alebo banky, útočník môže cez funkciu „Zabudnuté heslo“ získať kontrolu nad tvojím finančným účtom. Rovnako môže požiadať o zmenu hesla na Facebooku alebo Instagrame, ak máš tieto účty prepojené s e-mailom.
Útok Astaroth je zákerný, no najlepšie sa ochrániš tým, že si budeš dávať veľký pozor na aké odkazy klikáš. Vždy sa ubezpeč, že ťa URL adresa zavedie skutočne tam, kam tvrdí. Najzákernejšie na tom je, že užívateľ si nemusí všimnúť nič podozrivé, všetko vyzerá tak, ako má. Web má platný bezpečnostný certifikát (https), načítava sa rýchlo, neobsahuje žiadne varovania.
Komentáre