Vjerovatno smo svi dobili savjete kako izbjeći krađu identiteta, kao što je paziti na pravopisne pogreške ili druge pogreške koje bi nas upozorile na prisutnost prevaranata. Međutim, ovaj je savjet koristan samo za tradicionalne tehnike krađe identiteta. Meddler in the Middle MitM phishing napadi pokazuju kako akteri prijetnji pronalaze načine zaobići tradicionalne odbrane i savjete.
MitM phishing napadi su najsavremenija vrsta phishing napada koji mogu razbiti dvofaktorsku autentifikaciju (2FA) dok izbjegavaju mnoge mehanizme za otkrivanje phishinga koji se temelje na sadržaju. Umjesto prikazivanja lažne verzije ciljne stranice za prijavu, MitM napad koristi obrnuti proxy poslužitelj za prijenos izvorne stranice za prijavu izravno u korisnički browser.
Od novembra 2022. nekoliko phishing napada koristilo je MitM taktiku za kompromitiranje poslovnih računa e-pošte i za uspješnu krađu povjerljivih informacija organizacija. Postoji nekoliko popularnih MitM phishing alata koji hakerima olakšavaju pokretanje vlastitih MitM phishing napada u samo nekoliko klikova.
Ovi skupovi alata neprestano se proširuju dok istovremeno postaju intuitivniji i jednostavniji za korištenje. Mnogi već koriste sofisticirane tehnike prikrivanja, što im omogućuje da izbjegnu otkrivanje tradicionalnih sistema za otkrivanje krađe identiteta. Kao takvi, očekujemo da će prevalencija ovih MitM phishing napada nastaviti rasti u bliskoj budućnosti.
MitM Phishing napadi – šta je to?
MitM phishing napadi nova su vrsta phishing napada koji zaobilazi odbranu temeljenu na sadržaju i 2FA. Za razliku od tradicionalnih phishing napada, koji prikazuju zasebnu, ali lažnu verziju legitimne stranice za prijavu, MitM napadi prikazuju korisniku potpuno isti sadržaj koji bi vidjeli na legitimnoj stranici za prijavu. Umjesto hostinga replike legitimne stranice za prijavu, MitM poslužitelji jednostavno preuzimaju sadržaj prikazan na legitimnoj stranici i prenose ga krajnjem korisniku.
Drugim riječima, MitM poslužitelji djeluju kao proxy između ciljne i legitimne stranice za prijavu. Kada meta unese svoje akreditive na proxy stranicu, MitM poslužitelj ih pohranjuje i prosljeđuje legitimnoj stranici za prijavu, što rezultira uspješnim pokušajem prijave. Iz perspektive žrtve, sve izgleda kao da su se prijavili na samu legitimnu stranicu.
Nadalje, obje veze (MitM poslužitelj na legitimnu stranicu i žrtva na MitM poslužitelj) poslužuju se preko HTTPS protokola, tako da će žrtva vidjeti da je veza “sigurna” prema ikoni katanca u adresnoj traci web browsera.
Budući da je sadržaj prikazan meti potpuno isti kao sadržaj koji bi vidjeli na legitimnoj stranici za prijavu, ovaj pristup koji se temelji na proxyju znatno otežava žrtvama da vizualno razaznaju da se nešto sumnjivo događa i jako otežava mehanizme za otkrivanje krađe identiteta temeljene na sadržaju kako bi primijetili bilo što sumnjivo.
Da upotrijebimo sliku kao analogiju, tradicionalni phishing napad možemo smatrati kao gledanje (potencijalno neuredne) replike Van Goghove slike vrijedne 20 miliona dolara koju je izradio umjetnik lažnjak. MitM phishing napad je poput gledanja originalne slike kroz dobro skriveno ogledalo.
MitM napadi imaju još nekoliko prednosti osim kozmetičkih. Na primjer, ako korisnik ima postavljen 2FA, ovaj pristup temeljen na proxyju omogućuje MitM poslužitelju da automatski zaobiđe i ovaj 2FA.
Nakon što MitM poslužitelj proslijedi korisničko ime i lozinky legitimnom web-mjestu, legitimno web-mjesto tada će slijediti svoje uobičajeno ponašanje slanja OTP-a svom klijentu. Cilj – ako bude prevaren – tada će unijeti jednokratnu lozinku na MitM phishing stranicu. To omogućuje MitM poslužitelju da prenese lozinku na legitimnu stranicu, čime se u potpunosti dovršava pokušaj prijave.
U ovom trenutku, MitM poslužitelj bi primio stvarni kolačić sesije od legitimne stranice. Ova trajna prijava omogućuje žrtvi da nastavi pregledavati web mjesto naizgled normalno (iako još uvijek putem napadačevog web poslužitelja), čime se dodatno održava dojam legitimnosti phishing napada.
MitM phishing napadi već su rezultirali značajnim prodorima u stvarnom svijetu, a očekuje se da će njihova učestalost rasti kako se MitM phishing alati nastavljaju širiti i razvijati. Kao takvo, postaje sve važnije za organizacije da se zaštite od ovih vrsta najsuvremenijih phishing napada.
Više o Meddler-in-the-Middle Phishing napadima te načinima zaštite pročitajte na Unit 42
