Новости социальной инженерии: как обойти двухфакторную аутентификацию (MFA)

Фишинговая атака Adversary-in-the-Middle (AiTM) включает в себя кражу сеансовых файлов cookie, чтобы заполучить личные данные и обойти двухфакторную аутентификацию.

Сегодня большинство сайтов, которые вы посещаете, будут запрашивать разрешение на использование cookie (далее “куки”). Куки-файлы позволяют отслеживать вашу активность, с помощью них разработчики сайтов и понимают привычки пользователей: какой раздел сайта наиболее интересен, куда чаще “кликают” и т.п.

При AiTM-атаках речь идет в первую очередь о сеансовых куки — это те файлы, которые временно хранят пользовательские данные (включая логины и пароли), то есть если закрыть браузер они немедленно стираются. Основное преимущество этого метода состоит в том, что он позволяет злоумышленникам обойти двухфакторную аутентификацию.

Как пишет MakeUseOf, атакуя этим способом, мошенники обычно связываются с жертвой по электронной почте, заранее подготовив фишинговый сайт для кражи данных. В первую очередь в группе риска находятся пользователи Microsoft 365: преступники используют прокси-сервер для связи с Microsoft и размещения фальшивой страницы входа в систему. Этот прокси-сервер позволяет украсть сеансовый куки-файл и данные от учетной записи жертвы, то есть как только пользователь заполняет форму с логином и паролем, мошенникам предоставляется доступ к аккаунту, и никакой код двухфакторной аутентификации не защитит.

Иногда атаку могут проводить и с помощью вредоносного файла, не используя фишинговый сайт. Нужно быть особенно внимательным к вложениям .pdf, .doc, .zip и .xls: их чаще всего используют злоумышленники.

Для мошенника нет ничего лучше, чем хороший инфоповод. Так и случилось с сентябрьской мобилизацией. Граждане спешат, волнуются — они уже прогреты для мошенничества: на эмоции давить становится легче.

Злоумышленники уже начали массово «помогать» населению выплатами. In4security поделились информацией о фишинговой кампании, которую мошенники назвали «Zа наших».

Схема проста: гражданам обещают социальные выплаты, но только пока проводится СВО в Украине. Чтобы получить деньги, на странице необходимо выбрать банк и ввести либо логин и пароль от личного кабинета, либо предоставить информацию о карте.

Когда жертва предоставляет нужные данные и ждет секретный код для его ввода на странице, обученный бот пытается авторизоваться на сайте банка и тоже ждет тот самый код.

Администраторам tg-каналов стали поступать сообщения от «представителей» различных брендов с предложением разместить рекламный пост за деньги. Мошенники предлагают жертвам крайне выгодные условия, например, заплатить большую сумму из-за срочности или заказать сразу несколько публикаций.

Обычно преступники скидывают фишинговую ссылку и просят заполнить форму с реквизитами, контактными данными и статистикой канала. Дальше злоумышленники заявляют, что необходимо привязать tg-аккаунт к их сервису для старта рекламной кампании и предоставить “код из сообщения”. Если жертва поверила, то аккаунт успешно улетел в руки мошенников.

Но есть и еще одна схема, о ней нам поведал Сергей Смирнов (он, кстати, и предоставил скриншоты). Злоумышленники предлагают администраторам протестировать сервис перед рекламой и скидывают вредоносный EXE-файл. Здесь уже не нужен никакой код, после запуска EXEшника мошенники и так смогут авторизоваться, да и еще прихватят остальные данные с ПК жертвы.