Google i Microsoft korisnici, proverite naloge: Napad može ukrasti pristup za tren!
Nova vrsta sajber napada preti milionima korisnika Microsoft 365 i Google naloga. VoidProxy je napredna platforma za fišing koju su otkrili istraživači iz Okta Threat Intelligence. Ova opasnost ne predstavlja samo još jedan pokušaj prevare već je prava tehnološka bomba koja zaobilazi najsnažnije mere bezbednosti.
VoidProxy je mnogo više od običnog fišinga. To je kompletan alat za sajber kriminalce koji im omogućava da u realnom vremenu kradu pristupe naloga kao da stoje pored vas. Ova platforma uzdrmava sam temelj onlajn bezbednosti.
Kako VoidProxy zaobilazi autentifikaciju
Višefaktorska autentifikacija dugo se smatrala glavnom preprekom za ulazak neovlašćenih lica. Ovaj sistem zahteva dodatni kod pored lozinke kako bi potvrdio identitet korisnika. Međutim VoidProxy ruši tu sigurnost pomoću tehnike poznate kao Adversary-in-the-Middle. Ova tehnika presreće kodove i lozinke u realnom vremenu.
Pored toga VoidProxy krade i kolačiće sesije koji održavaju korisnika prijavljenim. Zahvaljujući tome napadači mogu slobodno pristupiti nalogu bez potrebe za ponovnim unosom bilo kakvih podataka. Na taj način višefaktorska autentifikacija gubi svoju svrhu i korisnici ostaju nezaštićeni.
Lažni mejl koji otvara vrata sajber kriminalcima
Napad započinje nežno sa mejlom koji na prvi pogled deluje bezazleno i pouzdano. Operateri VoidProxy platforme koriste kompromitovane naloge poznatih mejl servisa poput Constant Contact i Active Campaign da pošalju fišing mejlove. Pošto ti mejlovi dolaze sa legitimnih platformi spam filteri ih ne blokiraju i oni stižu pravo u korisničke inboxove.
Kada korisnik klikne na link u mejlu otvara se lažna stranica za prijavu koja je kopija zvaničnih Microsoft ili Google stranica. Žrtva unosi svoje podatke i MFA kodove nesvesna da ih u tom trenutku daje direktno napadačima. Ova prevara igra na poverenje i poznatost, zbog čega je izuzetno efikasna.
Tehnologija koja skriva VoidProxy od očiju istraživača
VoidProxy nije samo lukav već i dizajniran da bude nevidljiv. Platforma koristi višeslojne metode za izbegavanje otkrivanja i analize. Korišćeni su kompromitovani mejl nalozi složena preusmeravanja i Cloudflare CAPTCHA provere koje zbunjuju bezbednosne timove i automatizovane filtere.
Panel za upravljanje omogućava sajber kriminalcima da u realnom vremenu dobijaju ukradene podatke koje zatim šalju preko zaštićenih aplikacija kao što je Telegram. Ova visoka automatizacija omogućava masovne napade i brzu reakciju na nove mete pretvarajući krađu podataka u mašinski proces.
Kako su istraživači otkrili ovu pretnju
VoidProxy je otkriven kada nije uspeo da probije nalog zaštićen Okta FastPass autentifikacijom. Ovaj neuspeli pokušaj bio je ključ za razotkrivanje operacija platforme. Istraživači su otkrili sofisticiranu i stalno razvijajuću pretnju koja je već ugrozila veliki broj korisnika širom sveta.
Stručnjaci upozoravaju da tradicionalne mere bezbednosti više nisu dovoljne. Korisnici moraju biti izuzetno oprezni, skeptični prema svakom neočekivanom mejlu i razmotriti dodatne zaštitne mere kako bi ostali korak ispred ove nove sajber noćne more.
Zabranjeno preuzimanje dela ili čitavog teksta i/ili foto/videa, bez navođenja i linkovanja izvora i autora, a u skladu sa odredbama WMG uslova korišćenja i Zakonom o javnom informisanju i medijima.
