Zadáš kód na oficiálnej stránke a… si v pasci! Ruskí hackeri našli šokujúco jednoduchý trik, ako získať tvoj e-mail
Ruskí hackeri zneužívajú legitímnu stránku Microsoftu na útoky typu device code phishing. Obeť zadá kód a nevedomky im otvorí prístup k svojmu e-mailu aj citlivým dátam.
Popredná spoločnosť zaoberajúca sa kybernetickou bezpečnosťou Volexity odhalila rozsiahlu a sofistikovanú sériu cielených útokov sociálneho inžinierstva a spear-phishingu, za ktorými s vysokou pravdepodobnosťou stoja viacerí ruskí hackeri a skupiny. Cieľom týchto kampaní je kompromitovať účty Microsoft 365 (M365) prostredníctvom inovatívnej metódy phishingu s overovaním kódu zariadenia. Tento prístup je pre obete ťažko rozpoznateľný, pretože využíva legitímny autentifikačný mechanizmus, ktorý je bežne určený pre zariadenia s obmedzenými možnosťami zadávania, ako sú smart televízory či IoT zariadenia.
Device code flow je štandardizovaný spôsob autentifikácie podľa OAuth 2.0, ktorý umožňuje používateľom prihlásiť sa do aplikácií na zariadeniach, kde nie je možné pohodlne zadať prihlasovacie údaje. Používateľ na takomto zariadení obdrží krátky kód a je vyzvaný, aby ho zadal na špeciálnej webovej stránke (napr. https://microsoft.com/devicelogin) na inom zariadení s plnohodnotným prehliadačom. Po zadaní kódu a úspešnom prihlásení je zariadenie autorizované na prístup k účtu.
Paradoxne, útok prebieha na stránkach Microsoftu
Útočníci tento proces zneužívajú tak, že vygenerujú svoj vlastný device code a následne presvedčia obeť, aby tento kód zadala na legitímnej stránke Microsoftu. Obeť tak vlastne autorizuje zariadenie útočníka, ktorý následne získa prístupové tokeny k jej účtu. A to často bez toho, aby musela poznať heslo alebo prejsť ďalším faktorom autentifikácie (MFA). Tento prístup umožňuje útočníkovi dlhodobý a opakovaný prístup k firemným či súkromným e-mailom, OneDrive, Teams a ďalším službám, kým sú tokeny platné a to v niektorých prípadoch až 90 dní.
Podľa analýz Microsoftu a Volexity sú útoky vedené najmä na vládne inštitúcie, IT sektor, obranný, telekomunikačný, zdravotnícky a energetický sektor naprieč Európou, Severnou Amerikou, Afrikou aj Blízkym východom. Útočníci často využívajú personalizované správy, vydávajú sa za vysokopostavených úradníkov, diplomatov či zamestnancov renomovaných organizácií a komunikujú prostredníctvom platforiem ako Signal, WhatsApp, Microsoft Teams alebo e-mail. Po nadviazaní dôvery posielajú falošné pozvánky na stretnutia alebo žiadosti o prístup, pričom obeť presvedčia, aby zadala device code na legitímnej stránke Microsoftu.
Experti na bezpečnosť hovoria, že aktuálne evidujú kampane z týchto e-mailových adries:
Neprehliadni
- brensonkarl@gmail[.]com
- kaylassammers@gmail[.]com
- kendisggibson@gmail[.]com
- leslytthomson@gmail[.]com
- mikedanvil@gmail[.]com
- sheilmagnett@gmail[.]com
- susannmarton@gmail[.]com
Škody napáchané typom útoku môžu byť veľké
V niektorých prípadoch je device code phishing kombinovaný s ďalšími technikami, napríklad s QR kódmi, ktoré obeť naskenuje mobilom a tým tiež autorizuje zariadenie útočníka. Útočníci využívajú aj vlastné falošné stránky, ktoré generujú device code a následne presmerujú obeť na oficiálnu stránku Microsoftu, čím sa vyhnú detekcii tradičnými bezpečnostnými mechanizmami.
Úspešný útok môže teda viesť k úniku citlivých dát, ale aj reputačným škodám, šíreniu ďalších phishingových správ z kompromitovaného účtu alebo k neželanému pohybu útočníka v rámci sieťovej organizácie.
Device code phishing je obzvlášť nebezpečný, pretože obchádza aj pokročilé obranné mechanizmy ako MFA či analýzu škodlivých odkazov. Pričom všetko prebieha na legitímnych stránkach Microsoftu. Tento typ útoku predstavuje rastúcu hrozbu, ktorá zneužíva legitímne procesy na obídenie tradičných bezpečnostných opatrení. Organizácie by mali prijať viacvrstvové technické a organizačné opatrenia a neustále vzdelávať svojich používateľov, aby minimalizovali riziko úspešného útoku. Otázkou je, však ako chce spoločnosť Microsoft zabrániť týmto útokom?
Komentáre