Ataki phishingowe w 2022 roku nikogo już nie dziwią. Cyberprzestępcy stosują coraz bardziej wyrafinowane typy ataków oraz socjotechnik, aby osiągać swoje cele. Wykorzystanie ataków phishingowych to bardzo łatwy sposób o wysokiej skuteczności, który pozwala na kradzież danych, a od atakujących nie wymaga ogromnej ilości pracy w przygotowaniu ataku.

W dobie rosnącej liczby cyberzagrożeń oraz nowych rodzajów cyberataków, coraz więcej użytkowników decyduje się na aktywację weryfikacji wieloskładnikowej (Multi-Factor Authentication), aby zwiekszyć poziom bezpieczeństwa swoich danych. Dzięki MFA do logowania w popularnych usługach nie wystarczy znać login i hasło. Konieczny jest dodatkowy składnik zatwierdzający logowanie np. kod z SMSa lub ręczne zatwierdzenie logowania w aplikacji mobilnej.

Zobacz również:

• Ponad pół miliona kont Roku w niebezpieczeństwie po ataku

Niestety cyberprzestępcy potrafią już projektować wirusy w taki sposób, aby radzić sobie z nowymi zabezpieczeniami takimi jak Multi-Factor Authentication czy ograniczenia logowania dzięki geolokalizacji.

Adversary-in-the-Middle - niebezpieczny atak phisingowy pozwalający kraść dane logowania

Jednym z nowszych zagrożeń typu phishing są ataki Adversary-in-the-Middle (AiTM). Polegają one na kradzieży danych z ciasteczek sesyjnych wykorzystywanych podczas logowania lub w specyficznych przypadkach całkowitego obejścia warstwy uwierzytelniania podczas logowania.

Ataki Adversary-in-the-Middle do swojego powodzenia wykorzystują popularne w sieci pliki cookies, które dostępne są niemalże na każdej witrynie sieciowej. Pliki te śledzą aktywność użytkownika w sieci w celu zrozumienia jego nawyków, przekazania tych danych do reklamodawców oraz lepszego dostosowywania rekomendacji w sieci. Pliki cookies to niewielkie pliki, które przekazywane są do serwera za każdym razem po kliknięciu w daną witrynę, co pozwala na śledzenie aktywności użytkownika w sieci.

W sieci znajdziemy wiele rodzajów plików cookies, które mają różne zadania. Ataki Adversary-in-the-Middle wykorzystują pliki cookies zapisywane podczas sesji logowania. Są to ciasteczka, które tymczasowo gromadzą dane użytkownika dotyczące logowania podczas trwania sesji internetowej. Pliki te są natychmiastowo usuwane po zamknięciu przeglądarki sieciowej.

Ataki typu Adversary-in-the-Middle najcześciej rozpoczynają się od kontaktu ze strony atakującego. W przeważającej liczbie przypadków wykorzystywane są wiadomości e-mail. Oszustwa AiTM wykorzystują również złośliwe strony internetowe stworzone tylko i wyłącznie w celu kradzieży danych do logowania do wybranych usług.

Bardzo często ataki Adversary-in-the-Middle wykorzystywane są do kradzieży tożsamości do logowania w usługach Microsoft 365. Użytkownik otrzymuje na swoją skrzynkę wiadomość e-mail podszywająca się pod firmę Microsoft, która prosi o potwierdzenie tożsamości po kliknięciu w przygotowany link. Po jego otwarciu użytkownik przekierowywany jest na stronę do złudzenia przypominająca ekran logowania Microsoft. W praktyce jest to jednak atrapa mająca na celu kradzież danych do logowania.

Co istotne w przypadku ataków Adversary-in-the-Middle celem nie jest tylko i wyłącznie kradzież danych do logowania. W obecnych czasach nie pozwalają one atakującym na uzyskanie dostępu do interesujących ich usług. Ataki Adversary-in-the-Middle mają za zadanie obejście warstwy uwierzytelniania wieloskładnikowego (Multi-Factor Authentication).

W przypadku ataków na usługę Microsoft 365, cyberprzestępcy wykorzystają serwera proxy do komunikacji z witryną Microsoft 365 i wykorzystają go do tostowania strony logowania do Microsoft 365. Podczas ataku tak skonstruowana strona pozwala na kradzież pliku cookie sesji, który zawiera informacje o logowaniu. W momencie, gdy użytkownik wprowadzi dane do logowania na spreparowanej stronie, skradziony zostanie sesyjny plik cookies, który zapewni fałszywe uwierzytelnianie. Dzięki takiemu działaniu atakujący może ominąć uwierzytelnianie wieloskładnikowe i uzyskać bezpośredni dostęp do konta ofiary.

Jak chronić się przed atakami Adversary-in-the-Middle?

Atak phishingowy typu Adversary-in-the-Middle to jedna z bardziej wyrafinowanych metod ataku. Na szczęście nadal mowa o zagrożeniu phishingowym, więc można łatwo ochronić się przed kradzieżą danych. Wystarczy stosować powszechnie znane praktyki ograniczające ryzyko wystąpienia ataku phishingowego.

W przypadku uzyskania jakiejkolwiek wiadomości z informacją o konieczności logowania należy zachować zwiększona ostrożność. Powinna ona dodatkowo wzrosnąć, gdy wcześniej nie logowaliśmy się do żadnej usługi, nie wymusiliśmy zmiany hasła lub nie zarejestrowaliśmy się na żadnej stronie. Po otrzymaniu wiadomości z linkiem do logowania należy dokładnie zweryfikować adres odbiorcy z zachowaniem szczególnej ostrożności. Wiadomość e-mail z linkiem do kliknięcia to tradycyjny początek ataki phishingowego, a wiadomości preparowane przez cyberprzestępców wyglądają niemalże identycznie, jak zweryfikowane wiadomości z wielu znanych i popularnych usług.

Jeżeli w wiadomości znajduje się Call-to-Action wzywające do kliknięcia w link i logowanie do danej usługi, dużo lepszym rozwiązaniem jest bezpośrednie przejście do usługi w oddzielnej karcie i logowanie z tego poziomu. W te sposób można sprawdzić czy występują jakieś problem z kontem bez konieczności klikania w link. Jeżeli usługodawca ma nam do przekazania jakaś wiadomość, wyświetli się ona zaraz po logowaniu do usługi.

Należy również unikać otwierania wszelkich załączników wysyłanych z nieznanego adresu, nawet jeśli nadawca podaje się za zaufaną osobę. Złośliwe załączniki mogą być również wykorzystywane w atakach phishingowych AiTM, więc trzeba zachować szczególną ostrożność.

Jeżeli musimy pobrać załącznik z wiadomości e-mail trzeba dokładnie sprawdzić typ rozszerzenia. Należy zachować szczególną ostrożność, gdy w mailu znajdziemy załączniki typu .pdf, .doc, zip i .xls. Są one bowiem znane do przeprowadzania ataków phishingowych różnego przeznaczenia.

Warto sprawdzać również poprawność językową i gramatyczną. Jeżeli na pierwszy rzut oka widać, że wiadomość została przetłumaczona w popularnym translatorze, mamy niemalże pewność, że doszło do próby ataki phishingowego.