Расшифровка современных тактик фишинговых атак: от программ-разработчиков Cloudflare до контрабанды HTML

Часть 1: Фишинговая кампания с использованием Cloudflare Workers

Исследователи кибербезопасности предупреждают о нескольких фишинговых кампаниях, использующих Cloudflare Workers для сбора учётных данных пользователей. Эти фишинговые сайты нацелены на пользователей таких сервисов, как Microsoft, Gmail, Yahoo! и cPanel Webmail.

В данном случае злоумышленник применил технику, называемую « Adversary-in-the- Middle» (AitM). Для проведения атаки злоумышленник использовал Cloudflare Workers в качестве поддельного промежуточного сервера. Когда пользователь посещает легитимную страницу входа, Cloudflare Workers перехватывает и пересылает данные между пользователем и настоящей страницей входа.

По сути, эта атака будет осуществляться в следующие 4 этапа:

• Шаг 1: Хакер отправляет пользователю фишинговое письмо

Злоумышленник отправляет фишинговое письмо со ссылкой на поддельный веб-сайт. Письмо может выглядеть как отправленное из надежного источника и содержать сообщение, убеждающее пользователя перейти по ссылке.

• Шаг 2: Пользователь нажимает на ссылку электронной почты и перенаправляется на фишинговый сайт через Cloudflare.

Пользователь получает электронное письмо и нажимает на ссылку в письме, которая перенаправляет его на поддельный сайт. Сайт размещен на Cloudflare Workers, поэтому запрос пользователя проходит через Cloudflare Workers.

• Шаг 3: Cloudflare пересылает запрос пользователя на легитимный веб-сайт.

Когда пользователь вводит свои данные для входа на поддельный сайт, Cloudflare Workers перехватывает эти данные (включая имя пользователя, пароль и код двухфакторной аутентификации, если он доступен). Затем Cloudflare Workers перенаправляет запрос на настоящий сайт. Пользователь остаётся авторизованным на настоящем сайте, не замечая никаких изменений.

• Шаг 4: Cloudflare записывает информацию о пользователях и отправляет ее хакерам

Cloudflare Workers перехватывает данные пользователя для входа в систему и отправляет их злоумышленнику. Злоумышленник может использовать эти данные для доступа к учётной записи пользователя и выполнения вредоносных действий.

Часть 2: Методы контрабанды HTML и стратегии сбора учетных данных

HTML-контрабанда — это сложный метод атаки, который злоумышленники используют для скрытного создания мошеннических страниц прямо в браузере пользователя.

По сути, атака HTML-контрабанды происходит в 5 основных этапов:

• Шаг 1: Злоумышленник отправляет фишинговое письмо

Злоумышленник создаёт фишинговое письмо, выдавая себя за письмо от надёжного источника, например, организации или сервиса, которым жертва часто пользуется. Письмо содержит ссылку или вредоносное HTML-вложение. Текст письма обычно содержит убедительное или срочное сообщение, побуждающее жертву открыть ссылку или вложение, например, уведомление о заблокированной учётной записи или важном документе, требующем немедленного просмотра.

• Шаг 2: Пользователь получает электронное письмо и открывает ссылку/вложение.

Пользователь получает фишинговое письмо и, ничего не подозревая, нажимает на ссылку или открывает HTML-вложение. При этом браузер пользователя загружает и выполняет вредоносный JavaScript-код, содержащийся в HTML-файле или ссылке. Этот код предназначен для запуска непосредственно в браузере пользователя без необходимости загрузки какого-либо дополнительного программного обеспечения.

• Шаг 3: JavaScript-код создает фишинговую страницу прямо в браузере пользователя.

Вредоносный код JavaScript автоматически генерирует фишинговую страницу и отображает её в браузере пользователя. Эта фишинговая страница часто выглядит очень похожей на страницу входа в легитимный онлайн-сервис, такой как Microsoft, Gmail или любой другой сервис, которым обычно пользуется жертва. Это не позволяет жертве осознать, что она находится на поддельной странице.

• Шаг 4: Пользователь вводит данные для входа на фишинговый сайт.

Пользователь без предупреждения вводит свои учетные данные на фишинговом сайте. Это включает имя пользователя, пароль и, возможно, код двухфакторной аутентификации (MFA), если он будет запрошен. Фишинговый сайт предназначен для тайного хранения всей этой информации.

• Шаг 5: Данные для входа отправляются на сервер хакера.

Когда пользователь вводит свои учетные данные на фишинговой странице, вредоносный JavaScript-код отправляет эти данные обратно на сервер хакера. Это позволяет злоумышленнику собрать учетные данные жертвы, включая имя пользователя, пароль и код двухфакторной аутентификации. Используя эту информацию, злоумышленник может получить несанкционированный доступ к учетной записи жертвы.

Часть 3: Рекомендации пользователям по мерам предосторожности

Чтобы защитить себя от всё более изощрённых кибератак, упомянутых выше, пользователям необходимо принять некоторые меры предосторожности, чтобы минимизировать риск. Вот несколько важных рекомендаций:

• Повышение осведомленности о кибербезопасности

В современной цифровой среде кибератаки постоянно развиваются и становятся всё более изощрёнными. Поэтому крайне важно быть в курсе последних угроз кибербезопасности. Пользователям следует активно следить за авторитетными и актуальными источниками информации, чтобы понимать риски и знать, как их предотвратить.

• Используйте двухфакторную аутентификацию (2FA):

Двухфакторная аутентификация обеспечивает дополнительный уровень безопасности. Даже если злоумышленник получит ваши данные для входа, ему всё равно потребуется второй код аутентификации для доступа к вашей учётной записи.

• Всегда проверяйте и перепроверяйте, прежде чем предпринимать какие-либо действия.

Дважды проверьте все вложения и ссылки, прежде чем нажимать на них.

ХОРОШО ПОДУМАЙТЕ, ПРЕЖДЕ ЧЕМ КЛИКНУТЬ!!!

• Используйте антивирусное программное обеспечение

Антивирусное программное обеспечение способно сканировать и обнаруживать различные типы вредоносных программ, такие как вирусы, трояны, программы-вымогатели, шпионское ПО и другие угрозы. При обнаружении вредоносное ПО удаляется или помещается в карантин для защиты вашей системы.

В современную цифровую эпоху кибератаки становятся всё более изощрёнными и их сложнее обнаружить. Важно понимать, как фишинговые кампании используют Cloudflare Workers и HTML Smuggling, и защищаться от них. Чтобы защитить себя, пользователям следует регулярно обновлять свои знания в области кибербезопасности, использовать менеджер паролей, установить антивирусное ПО и внедрить двухфакторную аутентификацию. Эти меры не только помогают защитить персональные данные, но и способствуют повышению кибербезопасности всего сообщества.

— Департамент общей безопасности —