A kiberbiztonsági szakértők "játékváltoztató" adathalász rendszerrel szembesültek
Egy nemrégiben elért kibertámadást "játékmódosítónak" neveztek el - olyan megfogalmazás, amelyet nyilvánvalóan nem lát minden nap. Mi teszi az adott adathalász támadást mégis lenyűgözővé?
A támadást Craig Hays biztonsági kutató részletezte és elemezte a Medium cikkében. Az egész a szokásos adathalász támadási riasztásokkal kezdődött, amelyeket a biztonsági társaságok az ügyfelektől kapnak. Mivel azonban a korai vizsgálat folyamatban volt, néhány perccel az első jelentés után újabb piros lámpák kezdtek villogni, mivel egyre több ugyanazon szervezet e-mail fiókja került veszélybe.
A feltört e-mail fiókok szokatlanul nagy mennyiségű kimenő levelet küldtek ki, ami megzavarta a figyelmeztető mechanizmusokat. Szokatlan helyekről keresték fel őket a világ minden tájáról, és a szokásosnál sokkal több e-mailt pumpáltak ki. A biztonsági csapatnak azonban az volt a problémája, hogy nem volt egyértelmű jelzés a kezdeti támadási vektorról - egyetlen olyan szokásos figyelmeztető jel sem volt, amely sikeres adathalász kísérletet jelezne - nem érkezett ismeretlen címekről érkező levél, semmi.
Az ismeretség veszélye
Kiderült, hogy az adathalász e-mailek valóban nem gyanús vagy ismeretlen címekről származnak. Válaszüzenetekként küldték őket valódi, törvényes e-mailekre. Az az egyszerű tény, hogy a rosszindulatú adathalász linkek elrejtődtek az ismert forrásokból származó levelekben.
A támadás mechanizmusa egy kifinomult botot tartalmazott. Miután a megtámadott hálózaton egy e-mailt ellopták a hitelesítő adatokkal, a bot megkapta a bejelentkezési információkat, bejelentkezett a feltört fiókba, és elkezdte szitálni az elmúlt napokban érkező bejövő leveleket. Minden ilyen módon felfedezett egyedi e-mail lánc választ kapott a bottól egy üzenettel, amely tartalmazta a bűnözők által létrehozott adathalász portál linkjeit. Különösen a szélhámosok elég általános megfogalmazással álltak elő, hogy a csatolt hamis dokumentumra kattintás soha nem tűnt túl furcsának vagy helytelennek.
Ez azt jelenti, hogy a bot által küldött adathalász üzenet megőrizte a címet, a beszélgetési lánc eredeti tárgysorát, valamint az összes korábbi kommunikációt, hihetetlenül hihetővé és megbízhatóvá téve azt a felszínen, sokkal inkább, mint az ismeretlen cím által küldött adathalász kísérletek. ami azonnal kiváltja a figyelmeztető lámpákat még a tapasztalatlan felhasználók számára is.
Féregszerű adathalász kártevő
Jelentős az a tény, hogy a bot féregként viselkedett, és a vállalati e-mail hálózatokon terjedt a beérkezett üzenetek beolvasásával és hihető adathalász küldésével. Ez a terjedési mód különösen megnehezítette a fenyegetés kezelését. Végül felfedeztek egy mintát a rosszindulatú URL-ekben, és ezt hozzáadva egy automatikus szűrőhöz, amely valóban megfékezte és megállította a féregszerű adathalász bot terjedését.
Egy másik fontos tény, amelyet a jelentés kiemel, az, hogy a bot egy kicsit túlságosan is lelkes volt a saját érdekében. Ha nem lettek volna ilyen szokatlanul nagy mennyiségű kimenő levelek a riasztások feloldására, a bot sokkal hosszabb ideig észrevétlen maradhatott volna, és sokkal több kárt okozhatott volna.
Ennek az eseménynek az utolsó fontos elvonása az volt, hogy a többtényezős hitelesítést fel kell használni, amikor csak lehetséges, és a lehető leghamarabb elérhetővé kell tenni, ahol ez még nem lehetséges.