Исследователи обнаружили в Telegram фишинговый маркетплейс под названием ONNX, открывающий киберпреступникам доступ к инструментарию для угона аккаунтов Microsoft 365, в том числе и к методам обхода двухфакторной аутентификации. Благодаря этому злоумышленники могут поставить на поток фишинговые атаки на почтовые учетные записи Microsoft 365 и Office 365. Сотрудникам ИБ-отделов компаний стоит учитывать эту угрозу и уделять особенно пристальное внимание антифишинговой защите. Рассказываем о данной угрозе подробнее.
Вредоносное вложение с QR-кодом и обход двухфакторной аутентификации
Исследователи описали пример атаки с использованием инструментов фишингового маркетплейса ONNX, которая проводилась на сотрудников нескольких финансовых учреждений. Для начала жертвы получали электронные письма, якобы отправленные отделом кадров, а в качестве наживки использовалась тема зарплаты получателя.
Письма содержали вложенные PDF-файлы, внутри которых содержится QR-код, который надо отсканировать, чтобы получить доступ к «защищенному документу» с заветной информацией о зарплате. Идея тут в том, чтобы заставить жертву открыть ссылку не на рабочем компьютере, на котором, скорее всего, работает антифишинговая защита, а на смартфоне, где такая защита вполне может и не быть.
По ссылке открывается фишинговый сайт, который притворяется страницей входа в аккаунт Microsoft 365. Здесь жертву просят ввести сначала логин и пароль, а потом и одноразовый код двухфакторной аутентификации.
Вся эта информация, естественно, отправляется прямиком к злоумышленникам. Одноразовые коды двухфакторной аутентификации обычно имеют крайне небольшой срок годности — как правило, это 30 секунд. Поэтому для ускорения доставки информации создатели фишинг-кита используют протокол WebSocket, обеспечивающий быструю коммуникацию в режиме реального времени.
Получив логин, пароль и одноразовый код, злоумышленники немедленно, пока код еще действителен, используют эти данные для входа в аккаунт и таким образом получают полный доступ к переписке жертвы. Далее этот доступ может быть использован, например, для BEC-атак (business e-mail compromise).
Phishing-as-a-Service: все для рыбалки и охоты
Центром операций этого фишингового сервиса, как уже было сказано выше, является Telegram. Создатели ONNX вовсю пользуются возможностями автоматизации — все взаимодействие с покупателями происходит через Telegram-боты.
Фишинговые услуги злоумышленники предоставляют по подписке. Цены достаточно невысокие: например, месячная подписка на сбор паролей от аккаунтов Microsoft 365 без обхода двухфакторной аутентификации обойдется в $200, а с перехватом кодов 2FA — в $400.
Такие расходы могут себе позволить даже мелкие киберпреступники. При этом при небольших вложениях они получают доступ к весьма эффективным фишинговым сервисам — все, что им остается, это выбрать подходящую цель и придумать схему монетизации.
Как защитить организацию от продвинутых фишинговых атак
Собственно, это и делает Phishing-as-a-Service опасной угрозой: такая модель существенно расширяет диапазон атакующих, которые имеют в своем распоряжении серьезные инструменты. Поэтому надо учитывать возможность атаки на вашу организацию с использованием продвинутых фишинговых сервисов и заботиться о защите от них. Вот что мы тут можем посоветовать:
Рассмотрите возможность использования для двухфакторной аутентификации аппаратные устройства FIDO U2F (также известные как Yubikey) или ключи доступа (passkeys). Эти инструменты сводят на нет эффективность даже самого искусного и незаметного человеческому глазу фишинга.
Используйте на всех корпоративных устройствах, включая смартфоны и планшеты, надежное решение с инструментами защиты от фишинга.
Чтобы научить сотрудников правильно реагировать на подозрительные письма, регулярно проводите тренинги по информационной безопасности. Например, для этого можно использовать нашу интерактивную платформу Kaspersky Automated Security Awareness Platform.
Бизнес — Блог Касперского