Содержание статьи
Этот же сценарий характерен для многих целевых атак. Где‑то еще работает, но теряет свою эффективность по мере внедрения программ повышения осведомленности, технологий фильтрации почтового контента и многофакторной аутентификации (MFA).
MFA не дает атакующему воспользоваться украденной учеткой, потому что для доступа к данным требуется второй фактор, который остается у сотрудника. Для обхода средств MFA атакующий сместил фокус с кражи пароля на кражу пользовательской сессии. Так появились атаки Adversary-in-the-Middle (AitM).
Техники AitM основаны на использовании прокси‑инструментов, стоящих между жертвой и порталом для логина (например, SSO-порталом: Okta, Google Workspace и так далее). То есть пользователь видит реальную страницу для логина, но где‑то между пользователем и этой страницей атакующий получает под свой контроль пользовательскую сессию. И даже не нужно красть пароль от учетной записи, потому что пользовательские сессии могут оставаться активными больше месяца.
Чей-то браузер посередине: инструменты BitM-фишинга
Для проведения AitM-фишинга существуют две основные техники: Browser-in-the-Middle (BitM) и Reverse Web Proxy.
Техника «браузер посередине» основана на интеграции инфраструктуры атакующего в соединение между браузером жертвы и целевым веб‑приложением. Как только жертва перейдет по фишинговой ссылке, атакующий направит ее браузер на свою платформу, которая будет перенаправлять все запросы к оригинальному веб‑ресурсу. И заодно перехватывать данные в этом соединении.
Продолжение доступно только участникам
Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».
Присоединяйся к сообществу «Xakep.ru»!
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
