Ataki phishingowe są obecnie niezwykle powszechne. Ta metoda cyberprzestępczości może być bardzo skuteczna w kradzieży danych i nie wymaga ogromnego nakładu pracy na podstawowym poziomie. Ale phishing występuje również w wielu formach, z których jedną są ataki typu Adversary-in-the-Middle. Czym więc są ataki phishingowe typu Adversary-in-the-Middle? I jak można się ich pozbyć?
Co to są ataki typu adversary-in-the-middle?
Atak phishingowy Adversary-in-the-Middle (AiTM) polega na kradzieży sesyjnych plików cookie w celu kradzieży prywatnych danych, a nawet obejścia warstw uwierzytelniania.
Prawdopodobnie słyszałeś już o ciasteczkach. Obecnie większość witryn, na które klikasz, prosi o zgodę na używanie plików cookie w celu lepszego dostosowania korzystania z Internetu. Krótko mówiąc, pliki cookie śledzą Twoją aktywność online, aby zrozumieć Twoje nawyki. Są to małe pliki tekstowe z danymi, które mogą być wysyłane na Twój serwer za każdym razem, gdy klikniesz nową stronę internetową, co daje niektórym stronom możliwość monitorowania Twojej aktywności.
Istnieje wiele rodzajów plików cookie. Niektóre są potrzebne, a niektóre po prostu nie. Ataki AiTM dotyczą sesyjnych plików cookie. Są to pliki cookie, które tymczasowo przechowują dane użytkownika podczas sesji internetowej. Te pliki cookie są natychmiast tracone po zamknięciu przeglądarki.
Jak zawsze w przypadku phishingu, atak phishingowy AiTM rozpoczyna się od komunikacji cyberprzestępcy z celem, zwykle za pośrednictwem poczty elektronicznej. Oszustwa te wykorzystują również złośliwe strony internetowe do kradzieży danych.
Ataki AiTM były szczególnie palącym problemem dla użytkowników platformy Microsoft 365, a osoby atakujące kontaktowały się z celami i prosiły ich o zalogowanie się na ich konta 365. Złośliwy aktor podszywa się pod oficjalny adres firmy Microsoft w tym oszustwie, co jest również typowe w przypadku ataków typu phishing.
Celem jest nie tylko kradzież danych logowania, ale także obejście uwierzytelniania wieloskładnikowego ofiary (MFA) lub uwierzytelnianie dwuskładnikowe (2FA) warstwa. Są to funkcje bezpieczeństwa używane do weryfikacji logowania do konta poprzez żądanie pozwolenia z oddzielnego urządzenia lub konta, takiego jak smartfon lub poczta e-mail.
Cyberprzestępca użyje również serwera proxy do komunikacji z firmą Microsoft i hostowania fałszywej strony logowania 365. Ten serwer proxy umożliwia atakującemu kradzież pliku cookie sesji i danych logowania ofiary. Gdy ofiara wprowadza swoje dane logowania na złośliwą stronę, następnie ukradnie plik cookie sesji, aby zapewnić fałszywe uwierzytelnienie. Daje to atakującemu możliwość ominięcia żądania 2FA lub MFA ofiary, dając jej bezpośredni dostęp do konta.
Jak chronić się przed atakami phishingowymi AiTM
Chociaż atak phishingowy AiTM różni się od typowego ataku phishingowego, nadal można zastosować te same praktyki, aby uniknąć pierwszego z nich, jak drugiego. Zaczyna się to od wszelkich linków podanych w wiadomościach e-mail.
Jeśli otrzymasz wiadomość e-mail od rzekomo zaufanego nadawcy z informacją, że musisz użyć podanego linku, aby zalogować się na jedno ze swoich kont internetowych, bądź ostrożny. Jest to klasyczna sztuczka phishingowa, którą niepokojąco łatwo przeoczyć, zwłaszcza jeśli atakujący używa języka perswazyjnego lub pilnego, aby przekonać Cię do jak najszybszego zalogowania się na konto.
Jeśli więc otrzymasz wiadomość e-mail zawierającą jakikolwiek link, upewnij się, że przepuściłeś ją przez adres e-mail witryna do sprawdzania linków zanim klikniesz. Ponadto, jeśli wiadomość e-mail mówi, że musisz zalogować się na konto, po prostu wyszukaj stronę logowania w przeglądarce i wejdź na swoje konto. W ten sposób możesz sprawdzić, czy są jakieś problemy, które musisz rozwiązać na swoim koncie, bez klikania jakiegokolwiek podanego linku.
Powinieneś również unikać otwierania załączników wysłanych do Ciebie z nieznanego adresu, nawet jeśli nadawca twierdzi, że jest zaufaną osobą. Złośliwe załączniki mogą być również wykorzystywane w atakach typu phishing AiTM, dlatego należy uważać na to, co się otwiera.
Krótko mówiąc, jeśli nie ma potrzeby otwierania załącznika, zostaw go w spokoju.
Jeśli z drugiej strony uważasz, że musisz otworzyć załącznik, przed zrobieniem tego wykonaj kilka szybkich kontroli. Należy przyjrzeć się typowi pliku załącznika, aby określić, czy należy go uznać za podejrzany. Na przykład wiadomo, że pliki .pdf, .doc, zip i .xls są używane w złośliwych załącznikach, więc należy zachować ostrożność, jeśli dany załącznik należy do jednego z tych typów plików.
Oprócz tego sprawdź kontekst wiadomości e-mail. Jeśli nadawca twierdzi, że załącznik zawiera dokument, np. wyciąg bankowy, ale plik ma rozszerzenie .mp3, prawdopodobnie masz do czynienia ze zwodniczym i potencjalnie niebezpiecznym załącznikiem, ponieważ plik MP3 nie byłby używany do dokument.
Spójrz na adres nadawcy każdego podejrzanego e-maila, który otrzymujesz. Oczywiście każdy adres e-mail jest unikalny, więc atakujący nie może używać oficjalnego firmowego adresu e-mail do komunikowania się z Tobą, chyba że został zhakowany. W przypadku phishingu oszuści często używają adresów e-mail, które wyglądają nieco podobnie do oficjalnego adresu organizacji.
Na przykład, jeśli otrzymasz wiadomość e-mail od kogoś, kto twierdzi, że jest Microsoft, ale zauważysz, że adres brzmi „micr0s0ft” zamiast „Microsoft”, masz do czynienia z oszustwem typu phishing. Przestępcy dodają również dodatkową literę lub cyfrę do adresu e-mail, aby wyglądał on bardzo podobnie do prawidłowego adresu, ale nie identycznie.
Możesz nawet określić, czy link jest podejrzany, patrząc na niego. Złośliwe witryny często zawierają łącza, które wyglądają nietypowo. Na przykład, jeśli wiadomość e-mail zawiera informację, że podany link przekieruje Cię do strony logowania Microsoft, ale adres URL wskazuje, że jest to zupełnie inna witryna internetowa, unikaj. Sprawdzenie domeny witryny może być szczególnie przydatne w unikaniu phishingu.
Wreszcie, jeśli otrzymasz wiadomość e-mail z rzekomo oficjalnego źródła, która jest pełna błędów ortograficznych i gramatycznych, prawdopodobnie masz do czynienia z oszustem. Oficjalne firmy często upewniają się, że ich e-maile są napisane poprawnie, podczas gdy cyberprzestępcy mogą czasami być niechlujni w komunikacji. Tak więc, jeśli otrzymany e-mail jest napisany bardzo leniwie, zachowaj ostrożność podczas dalszego postępowania.
Uważaj, aby uniknąć ataków phishingowych AiTM
Phishing jest niezwykle rozpowszechniony i jest wykorzystywany zarówno do atakowania osób indywidualnych, jak i organizacji, co oznacza, że nikt nie jest naprawdę bezpieczny przed tym zagrożeniem. Tak więc, aby uniknąć ataków phishingowych AiTM i ogólnie phishingu, rozważ podane powyżej wskazówki, aby zapewnić bezpieczeństwo danych.