Novi napredni phishing napad omogućava napadaču da zaobiđe autentifikaciju u više koraka (MFA) usmjeravajući korisnika da se prijavi na svoj korisnički nalog direktno na server pod kontrolom napadača na kojem je postavljen VNC sistem dijeljenja ekrana. Korisnik i dalje treba da unese svoj MFA sigurnosni kôd kako bi napad bio uspješan.
Autentifikaciju u više koraka; Source: Burst - Photo
by: Sarah Pflug
|
U prethodnim pokušajima, napadači su razvili gotove phishing alate koji su omogućavali i osobama sa malim tehničkim znanjem da pokrenu napad postavljajući obrnuti proxy server. Međutim, organizacije su razvile tehnike zaštite i prilikom detekcije obrnutog proxy servera pokretao se mehanizam koji je blokirao prijavu na korisnički nalog i odmah ga deaktivirao.
Google zaustavlja napad obrnutog proxy servera; Source: mr.d0x |
Kako bi se zaobišla ova prepreka, sigurnosni istraživač po nadimkom mr.d0x došao je na ideju da koristi softver za daljinski pristup noVNC i Internet pregledač pokrenut u kiosk modu da bi forme za prijavu bile pokrenute na serveru napadača, a prikazane na Internet pregledaču žrtve napada. VNC je softver za daljinski pristup koji omogućava udaljenim korisnicima da se povežu i kontrolišu udaljene mašine. S druge strane, noVNC omogućava korisnicima da se povežu na VNC server direktno iz Internet pregledača jednostavnim klikom na link. Pa, iz navedenog slijedi da su postavke za ovu vrstu napada slijedeće:
Izvrši se postavljanje noVNC servera, pokrene se Internet pregledač (Firefox, Chrome, ...) u kiosk modu (da bi aplikacija bila preko čitavog ekrana bez vidljivog okvira aplikacije) i otvori se forma za prijavu za stranicu koju želimo (recimo accounts.google.com). Nakon toga, pošalje se link korisniku, koji klikom na njega odmah otvara VNC sesiju a da toga nije svjestan. To je zato što je Internet pregledač na serveru napadača u kiosk modu pa korisnik ne vidi ništa sem Internet stranice, što ustvari i očekuje. Koristeći ovaj pristup, napadač može poslati korisnicima Spear phishing elektronsku poštu sa veoma prilagodljivim linkovima na razne Internet stranice.
Demonstracija napada korištenjem noVNC; Source: mr.d0x |
Sada, pošto se prijava na korisnički nalog ustvari odvija na serveru napadača, nakon uspješne prijave korisnika, napadač ima razne načine da preuzme podatke za prijavu ili sigurnosne tokene. Pošto VNC dopušta da više ljudi nadgleda jednu sesiju u isto vrijeme, napadač bi mogao da prekine sesiju nakon što se žrtva uspješno prijavi na svoj korisnički nalog i odmah kasnije nastavi tu sesiju sa punim pristupom korisničkom nalogu.
Savjet za korisnike ostaje isti: da bi se zaštitili od ovakvih napada nikad ne otvarajte linkove od nepoznatih pošiljalaca, izvršite inspekciju putanje linka, tretirajte svu elektronsku poštu sa nepovjerenjem, posebno kada se od vas traži da se prijavite na vaš korisnički nalog.