Обзор новостей социальной инженерии
Как обойти двухфакторную аутентификацию (MFA)

Фишинговая атака Adversary-in-the-Middle (AiTM) включает в себя кражу сеансовых файлов cookie, чтобы заполучить личные данные и обойти двухфакторную аутентификацию.

Сегодня большинство сайтов, которые вы посещаете, будут запрашивать разрешение на использование cookie (далее "куки"). Куки-файлы позволяют отслеживать вашу активность, с помощью них разработчики сайтов и понимают привычки пользователей: какой раздел сайта наиболее интересен, куда чаще "кликают" и т.п.

При AiTM-атаках речь идет в первую очередь о сеансовых куки — это те файлы, которые временно хранят пользовательские данные (включая логины и пароли), то есть если закрыть браузер они немедленно стираются. Основное преимущество этого метода состоит в том, что он позволяет злоумышленникам обойти двухфакторную аутентификацию.

Как пишет MakeUseOf, атакуя этим способом, мошенники обычно связываются с жертвой по электронной почте, заранее подготовив фишинговый сайт для кражи данных. В первую очередь в группе риска находятся пользователи Microsoft 365: преступники используют прокси-сервер для связи с Microsoft и размещения фальшивой страницы входа в систему. Этот прокси-сервер позволяет украсть сеансовый куки-файл и данные от учетной записи жертвы, то есть как только пользователь заполняет форму с логином и паролем, мошенникам предоставляется доступ к аккаунту, и никакой код двухфакторной аутентификации не защитит.

Иногда атаку могут проводить и с помощью вредоносного файла, не используя фишинговый сайт. Нужно быть особенно внимательным к вложениям .pdf, .doc, .zip и .xls: их чаще всего используют злоумышленники.


»
$9.5 млн или 25 лет тюрьмы за мошенничество

США был приговорен к 25-ти годам лишения свободы мошенник по имени Элвис Эгос Огиекполор, он занимался мошенничеством и отмыванием денег. Ему и его команде удалось заполучить $9,5 млн.

«Огиекполор и его сообщники были частью более широкой международной сети онлайн-мошенников и отмывателей денег, которые сеяли хаос и опустошение ничего не подозревающим лицам и предприятиям» - сказал прокурор США Райан К. Бьюкенен.

Как пишет Министерство юстиции США, начиная с октября 2018 года и заканчивая августом 2020, преступник приказал своим подельникам открыть 50 банковских счетов в Грузии на имя несуществующих компаний, а если один из счетов закрывали по подозрению в мошенничестве, то заменять его на новый. На эти счета выводились деньги с мошеннических махинаций, после чего отмывались, используя уже другие счета в банках по всему миру.

Огиекполор занимался BEC-атаками (атака на организацию с помощью захвата законной почты сотрудника), а также "романтическими мошенничествами". В обоих случаях его махинации можно считать вполне успешными. Например, представители компаний, которые пострадали от BEC-атак, в суде заявляли о суммах в размере сотен тысяч долларов, а одна из пострадавших от романтического мошенничества упомянула о $70 тыс.


»
Как создать идеальную фишинговую форму

Мошенники используют функцию Chrome's Application Mode, которая доступна во всех браузерах, построенных на базе Chromium, чтобы создавать фишинговые формы трудно отличимые от законных.

Как пишет BleepingComputer, злоумышленники рассылают пользователям на электронную почту ярлыки Windows (.LNK) в архивах ISO, в которых скрыты фишинговые URL-адреса с вредоносными формами авторизации. Здесь на помощь и приходит режим приложения, так как он позволяет запускать веб-сайты в отдельном окне, в котором не отображается URL страницы, а на панели задач Windows будет показана иконка открытого веб-сайта.

Этот метод позволяет злоумышленникам создавать фишинговые формы, которым жертва будет доверять, так как открываются они с рабочего стола Windows. Но есть один минус: качественный антивирус быстро заметит подвох и предупредит пользователя об опасности, если, конечно, URL-адрес уже "несвежий".

Подобную атаку проще всего провести с браузером Microsoft Edge, поскольку он установлен по умолчанию в последних версиях Windows, и хакеры могут распространять ярлыки, запускающиеся через Microsoft Edge.

Кроме того, злоумышленник может использовать HTML-файл, в котором встроен параметр «-app», чтобы указать на фишинговый сайт.

Злоумышленники не стоят на месте, каждый день появляются все более изощренные фишинговые кампании — не стойте на месте и вы! Защитите свою организацию — протестируйте сотрудников на знание правил ИБ и обучите их по результатам тестирования.

*источник фото BleepingComputer

Мы в социальных сетях