Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Zorientowali się, że mają intruza w poczcie elektronicznej, dopiero gdy hacker wysłał ze zhackowanej skrzynki maile phishingowe do wszystkich pracowników. Tym razem 2FA nie ochroniło przed phishingiem…

25 czerwca 2024, 00:07 | W biegu | komentarze 4

O całej sprawie informuje any.run. Chronologicznie incydent wyglądał w sposób następujący:

  • Jeden z pracowników any[.]run otrzymał maila od klienta (konto klienta było zhackowane)
  • Pracownik był na tyle świadomy, że wysłał e-maila do serwisu (sanboxa) sprawdzającego, czy wiadomość nie jest phishingiem. Serwis zwrócił, że wszystko OK. Dlaczego?

    Link z maila prowadził do zaufanej domeny, która jednak… została wcześniej zhackowana; na domenie przygotowany został formularz logowania podszywający się pod Microsoft

    Dodatkowo sandbox nie deszyfrował ruchu HTTPS, co uniemożliwiło mu wykrycie podejrzanego zachowania
  • Wracając do głównego wątku. Uspokojony pracownik podał swoje dane logowania (w tym dane 2FA) w fałszywym formularzu logowania; w sandboksie (!)
  • Jego konto zostało przejęte, a dodatkowo atakujący skonfigurował swój telefon do 2FA
  • Atakujący pozostał niewykryty przez 23 dni, aż do momentu gdy wykonał dość dziwną akcję, tj. wysłał kolejne maile phishingowe ze zhackowanej skrzynki pracownika – do wszystkich kontaktów (w tym do wszystkich pracowników any[.]run – wtedy oczywiście już wszyscy połapali się o problemie…)

Garść rad na koniec:

  • Pamiętaj, że maile od klienta / kontrahenta mogą zawierać złośliwe linki / załączniki (jego skrzynka może być zhackowana)
  • Pamiętaj, że na „zaufanej” domenie (adresie) również mogą znajdować się fałszywe formularze logowania (domena mogła zostać zhackowana)
  • Pamiętaj, że antywirusy, inne systemy wykrywające złośliwe oprogramowanie / linki, mogą okazać się zawodne
  • Pamiętaj, że 2FA bazujące np. na kodach generowanych przez appkę, może zostać oszukane (jeśli podasz kod na podstawionej stronie)
  • Najlepszym „firewallem” jest głowa / edukacja / świadomość zagrożeń (w tym przypadku pracownik powinien wykryć, że domena (adres) na której podał dane logowania, nie należy do Microsoftu)

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Artur

    ciekawe jaki to serwis (sandbox)?

    Odpowiedz
  2. Matt

    „Pamiętaj… Pamiętaj… Pamiętaj…”

    Niedługo już trzeba będzie przez 2 dni do wiadomości e-mail podchodzić. Jak saper… Wydawać tysiące dolarów na usługi skanowania, żeby otworzyć maila z fakturą za prąd…

    Odpowiedz
  3. Marek

    Koncepcja 2FA wymaga chyba rewizji, skoro podanie JEDNEGO kodu na złośliwej stronie przełamuje całe zabezpieczenie.

    Odpowiedz

Odpowiedz