Обзор фишинговых методов
Эксперты по кибербезопасности выявили новые фишинговые кампании, в которых злоумышленники используют работников Cloudflare для размещения фишинговых сайтов. Эти сайты направлены на сбор учетных данных пользователей популярных веб-почтовых сервисов, таких как Microsoft, Gmail, Yahoo! и cPanel.
Метод, известный как прозрачный фишинг или атака "злоумышленник посередине" (AitM), использует сотрудников Cloudflare в качестве обратного прокси-сервера для легитимных страниц входа, перехватывая трафик между жертвой и страницей входа для кражи учетных данных, файлов cookie и токенов, как отметил в своем отчете исследователь Netskope Ян Майкл Алькантара
География и цели атак
За последние 30 дней большинство фишинговых кампаний, размещенных на Cloudflare Workers, были направлены на жертв из Азии, Северной Америки и Южной Европы, охватывая такие отрасли, как технологии, финансовые услуги и банковский сектор.
Компания по кибербезопасности отметила значительное увеличение трафика на фишинговые страницы, размещенные на Cloudflare Workers, начиная со второго квартала 2023 года. Количество отдельных доменов выросло с чуть более 1000 в четвертом квартале 2023 года до почти 1300 в первом квартале 2024 года.
Техника контрабанды HTML
В этих фишинговых кампаниях используется техника контрабанды HTML, включающая использование вредоносного JavaScript для доставки вредоносного контента на стороне клиента, обходя меры безопасности. Это подчеркивает сложные стратегии, применяемые злоумышленниками для атак на целевые системы.
Отличительной особенностью является то, что фишинговая страница реконструируется и отображается пользователю в веб-браузере, создавая иллюзию легитимности.
Кибербезопасность
Фишинговая страница побуждает жертву войти в Microsoft Outlook или Office 365 (ныне Microsoft 365) для просмотра поддельного PDF-документа. Если жертва вводит свои учетные данные, фальшивые страницы входа, размещенные на Cloudflare Workers, собирают эти данные, включая коды многофакторной аутентификации (MFA).
"Фишинговая страница создана с использованием модифицированной версии открытого инструментария Cloudflare AitM," - сказал Майкл Алькантара. "Когда жертва вводит свои учетные данные, они попадают на законный сайт, а злоумышленник получает токены и файлы cookie, а также доступ к любым дальнейшим действиям жертвы."
Обход современных средств защиты
Контрабанда HTML как способ доставки вредоносного контента все чаще используется злоумышленниками для обхода современных защитных мер. Это позволяет размещать мошеннические HTML-страницы и другое вредоносное ПО, не вызывая тревог.
В одном из случаев, описанных Huntress Labs, поддельный HTML-файл использовался для внедрения iframe легитимного портала аутентификации Microsoft, извлеченного из домена, контролируемого злоумышленником.
"Это выглядит как атака с прозрачным прокси-сервером, обходящая MFA, но использует контрабанду HTML с внедренным iframe вместо обычной ссылки," - пояснил исследователь безопасности Мэтт Кили.
Обучение сотрудников
В связи с растущими угрозами важно обучать сотрудников распознавать признаки фишинга и понимать современные методы атаки. Это включает в себя обучение идентификации подозрительных электронных писем, ссылок и веб-сайтов, а также применение мер предосторожности при вводе учетных данных. Регулярное проведение тренингов и симуляций фишинговых атак может значительно повысить осведомленность и устойчивость сотрудников к таким угрозам.
Скачайте бесплатные инструменты для оценки и повышения киберграмотности ваших сотрудников здесь.
