Исследователи обнаружили в Telegram фишинговый маркетплейс под названием ONNX.
Открывающий киберпреступникам доступ к инструментарию для угона аккаунтов Microsoft 365, в том числе и к методам обхода двухфакторной аутентификации. Благодаря этому злоумышленники могут поставить на поток фишинговые атаки на почтовые учетные записи Microsoft 365 и Office 365. Сотрудникам ИБ-отделов компаний стоит учитывать эту угрозу и уделять особенно пристальное внимание антифишинговой защите. Рассказываем о данной угрозе подробнее.
Письма содержали вложенные PDF-файлы, внутри которых содержится QR-код, который надо отсканировать, чтобы получить доступ к «защищенному документу» с заветной информацией о зарплате. Идея тут в том, чтобы заставить жертву открыть ссылку не на рабочем компьютере, на котором, скорее всего, работает антифишинговая защита, а на смартфоне, где такая защита вполне может и не быть.
По ссылке открывается фишинговый сайт, который притворяется страницей входа в аккаунт Microsoft 365. Здесь жертву просят ввести сначала логин и пароль, а потом и одноразовый код двухфакторной аутентификации.
На поддельной странице входа в аккаунт Microsoft жертву просят ввести логин, пароль и одноразовый код двухфакторной аутентификации
Вся эта информация, естественно, отправляется прямиком к злоумышленникам. Одноразовые коды двухфакторной аутентификации обычно имеют крайне небольшой срок годности — как правило, это 30 секунд. Поэтому для ускорения доставки информации создатели фишинг-кита используют протокол WebSocket, обеспечивающий быструю коммуникацию в режиме реального времени.
Получив логин, пароль и одноразовый код, злоумышленники немедленно, пока код еще действителен, используют эти данные для входа в аккаунт и таким образом получают полный доступ к переписке жертвы. Далее этот доступ может быть использован, например, для BEC-атак (business e-mail compromise).
Фишинговые услуги злоумышленники предоставляют по подписке. Цены достаточно невысокие: например, месячная подписка на сбор паролей от аккаунтов Microsoft 365 без обхода двухфакторной аутентификации обойдется в $200, а с перехватом кодов 2FA — в $400.
Такие расходы могут себе позволить даже мелкие киберпреступники. При этом при небольших вложениях они получают доступ к весьма эффективным фишинговым сервисам — все, что им остается, это выбрать подходящую цель и придумать схему монетизации.
Вот что мы тут можем посоветовать:
Открывающий киберпреступникам доступ к инструментарию для угона аккаунтов Microsoft 365, в том числе и к методам обхода двухфакторной аутентификации. Благодаря этому злоумышленники могут поставить на поток фишинговые атаки на почтовые учетные записи Microsoft 365 и Office 365. Сотрудникам ИБ-отделов компаний стоит учитывать эту угрозу и уделять особенно пристальное внимание антифишинговой защите. Рассказываем о данной угрозе подробнее.
Вредоносное вложение с QR-кодом и обход двухфакторной аутентификации
Исследователи описали пример атаки с использованием инструментов фишингового маркетплейса ONNX, которая проводилась на сотрудников нескольких финансовых учреждений. Для начала жертвы получали электронные письма, якобы отправленные отделом кадров, а в качестве наживки использовалась тема зарплаты получателя.Письма содержали вложенные PDF-файлы, внутри которых содержится QR-код, который надо отсканировать, чтобы получить доступ к «защищенному документу» с заветной информацией о зарплате. Идея тут в том, чтобы заставить жертву открыть ссылку не на рабочем компьютере, на котором, скорее всего, работает антифишинговая защита, а на смартфоне, где такая защита вполне может и не быть.
По ссылке открывается фишинговый сайт, который притворяется страницей входа в аккаунт Microsoft 365. Здесь жертву просят ввести сначала логин и пароль, а потом и одноразовый код двухфакторной аутентификации.
На поддельной странице входа в аккаунт Microsoft жертву просят ввести логин, пароль и одноразовый код двухфакторной аутентификации
Вся эта информация, естественно, отправляется прямиком к злоумышленникам. Одноразовые коды двухфакторной аутентификации обычно имеют крайне небольшой срок годности — как правило, это 30 секунд. Поэтому для ускорения доставки информации создатели фишинг-кита используют протокол WebSocket, обеспечивающий быструю коммуникацию в режиме реального времени.
Получив логин, пароль и одноразовый код, злоумышленники немедленно, пока код еще действителен, используют эти данные для входа в аккаунт и таким образом получают полный доступ к переписке жертвы. Далее этот доступ может быть использован, например, для BEC-атак (business e-mail compromise).
Phishing-as-a-Service: все для рыбалки и охоты
Центром операций этого фишингового сервиса, как уже было сказано выше, является Telegram. Создатели ONNX вовсю пользуются возможностями автоматизации — все взаимодействие с покупателями происходит через Telegram-боты.Фишинговые услуги злоумышленники предоставляют по подписке. Цены достаточно невысокие: например, месячная подписка на сбор паролей от аккаунтов Microsoft 365 без обхода двухфакторной аутентификации обойдется в $200, а с перехватом кодов 2FA — в $400.
Такие расходы могут себе позволить даже мелкие киберпреступники. При этом при небольших вложениях они получают доступ к весьма эффективным фишинговым сервисам — все, что им остается, это выбрать подходящую цель и придумать схему монетизации.
Как защитить организацию от продвинутых фишинговых атак
Собственно, это и делает Phishing-as-a-Service опасной угрозой: такая модель существенно расширяет диапазон атакующих, которые имеют в своем распоряжении серьезные инструменты. Поэтому надо учитывать возможность атаки на вашу организацию с использованием продвинутых фишинговых сервисов и заботиться о защите от них.Вот что мы тут можем посоветовать:
- Рассмотрите возможность использования для двухфакторной аутентификации аппаратные устройства FIDO U2F (также известные как Yubikey) или ключи доступа (passkeys). Эти инструменты сводят на нет эффективность даже самого искусного и незаметного человеческому глазу фишинга.
- Используйте на всех корпоративных устройствах, включая смартфоны и планшеты, надежное решение с инструментами защиты от фишинга.
- Чтобы научить сотрудников правильно реагировать на подозрительные письма, регулярно проводите тренинги по информационной безопасности.
