Studiuesit e Prooftpoint kanë parë një rritje të sulmeve të phishing që anashkalojnë vërtetimin me shumë faktorë (MFA). Një nga mjetet më të njohura, domethënë EvilProxy, shfrytëzon teknikën Adversary-in-the-Middle (AitM) për të vjedhur kredencialet e hyrjes dhe skedarët e sesionit në kohë reale. Viktimat janë kryesisht drejtues të kompanive të mëdha.
EvilProxy anashkalon vërtetimin me shumë faktorë
Gjatë një prej fushatave më të fundit, e cila ka nisur që nga marsi, EvilProxy u përdor për të synuar mijëra llogari të Microsoft 365. Mbi 120,000 email phishing u dërguan midis marsit dhe qershorit. Mesazhi duket se vjen nga burime të njohura, si Adobe, Concur dhe DocuSign. Klikimi mbi lidhjen shkakton një sërë ridrejtimesh, duke kaluar nëpër YouTube dhe disa site legjitime ku është injektuar kodi PHP që deshifron adresën e emailit të viktimave.
Pas identifikimit të domenit nga adresa e emailit, kriminelët kibernetikë e çojnë punonjësin në faqen e phishing që ka një dizajn të ngjashëm me atë të kompanisë. Kredencialet e futura në faqe vidhen duke përdorur teknikën AitM. EvilProxy përgjon kërkesën e vërtetimit me shumë faktorë dhe e përcjell atë te serveri i vërtetë. Më pas përgjon përgjigjen e serverit dhe ia përcjell atë klientit të viktimës. Ndërkohë, ka regjistruar skedarë të sesioneve që ju lejojnë të identifikoheni në llogarinë tuaj Microsoft 365.
Për të arritur qëndrueshmëri, metoda e vërtetimit në cilësimet e llogarisë ndryshohet. Përdorimi i MFA ka rritur popullaritetin e proxy-ve të kundërt, siç është EvilProxy. Objektivat e preferuar janë drejtuesit e kompanive të mëdha, pasi është e mundur të vidhni informacione shumë konfidenciale. Zgjidhja më efektive kundër këtij lloj kërcënimi është përdorimi i çelësave të sigurisë harduerike.
Discussion about this post