Хакер #309. Самооборона по-хакерски
Известный ИБ-эксперт и основатель агрегатора утечек Have I Been Pwned Трой Хант (Troy Hunt) сообщил, что стал жертвой фишинговой атаки. Злоумышленники получили доступ к списку рассылки в Mailchimp и данным 16 000 человек.
По словам Ханта, все участники скомпрометированного списка рассылки вскоре получат уведомления и письма с извинениями. Причем около половины записей (7535 из 16 000) принадлежат людям, которые уже отписались от рассылки. Хант пишет, что не знает, по какой причине Mailchimp сохраняет данные об отписавшихся пользователях, и обещает выяснить, не было ли проблем с конфигурацией на его стороне.
Хант принес пользователям извинения и сообщил, что «очень расстроен тем, что попался на эту удочку». По его словам, фишинговая атака была хорошо продумана, но специалист признает, что большую роль в произошедшем сыграла его собственная усталость после перелетов и смены часовых поясов.
Мошенники прислали основателю HIBP письмо от лица Mailchimp (на скриншоте ниже). В послании сообщалось, что из-за жалобы на спам функциональность учетной записи временно ограничена, и Хант не может рассылать письма своим подписчикам. Эксперту предлагалось войти в свой аккаунт и просмотреть кампании, чтобы привести их в соответствие с правилами.
По словам Ханта, это создало нужную степень давления и ощущения срочности. Не такую сильную, чтобы вызвать подозрения, но достаточную, чтобы потребовать быстрой реакции.
В итоге специалист перешел по ссылке из письма, ввел свои учетные данные и одноразовый код доступа (one-time passcode, OTP), а затем увидел, что страница «зависла» и перестала реагировать. На этом этапе Хант понял, что произошло, и поспешил изменить пароль для своей учетной записи, но все же опоздал: ему пришло настоящее письмо от Mailchimp, уведомляющее, что список рассылки был успешно экспортирован.
Временное окно между вводом учетных данных на фишинговой странице и кражей списка рассылки составило менее двух минут. То есть атака была автоматической и вряд ли была нацелена именно на Ханта.
«По иронии судьбы сейчас я нахожусь в Лондоне, где встречаюсь с правительственными партнерами, а вчера провел пару часов в Национальном центре кибербезопасности, обсуждая, как нам эффективнее продвигать passkey, в том числе из-за их устойчивости к фишинговым атакам», — рассказывает Хант в своем блоге.
Стоит отметить, что Mailchimp не предлагает устойчивые к фишингу методы двухфакторной аутентификации (2ФА), такие как аппаратные ключи или passkey, предлагая использовать OTP, доставляемые через приложение-аутентификатор или посредством SMS.
«Я ни в коем случае не призываю людей отказаться от использования 2ФА через OTP, но пусть это послужит уроком того, насколько бесполезны такие методы [аутентификации] против автоматизированной фишинговой атаки, которая может просто использовать OTP сразу после его ввода», — отметил эксперт.
Хант добавляет, что API-ключ, созданный в процессе мошеннического входа в аккаунт, был удален, что исключает возможность постоянного доступа злоумышленников к учетной записи.
Также он отметил, что пользователям менеджеров паролей стоит следить за автозаполнением учетных данных на сайтах, поскольку отсутствие такой функции может быть признаком фишинговой страницы. Впрочем, это тоже не является надежной защитой, поскольку существуют сайты, где процесс аутентификации проходит на другом домене. В качестве примера Хант привел свой аккаунт Qantas, где сайт qantas.com.au проводит аутентификацию через accounts.qantas.com.
В своем сообщении Хант упоминает, что часть вины за эту атаку все же лежит на приложении Outlook для iOS, которое утверждало, что отправителем вредоносного письма является «MailChimp Account Services», при этом не указывая домен, стоящий за ним (hr@group-f.be), что являлось очевидным признаком мошенничества, поскольку указанный адрес не имеет никакого отношения к инфраструктуре Mailchimp.
Домен, использовавшийся для размещения фишинговой страницы для кражи учетных данных (mailchimp-sso.com), был удален Cloudflare спустя два часа после того, как данные Ханта были украдены.
