Хакери використовують фішингові електронні листи для введення двох кодів поштового коду

Хакери використовують фішингові електронні листи для введення двох кодів поштового коду

Звичайна мудрість говорить, що додавання двофакторної автентифікації (2FA) захистить ваші облікові записи від більшості фішингових шахрайств, але нова хвиля складних автоматичних атак нагадує нам, що 2FA не є непогрішним. Як і у всіх заходах безпеки, це лише таке ж безпечне, як найслабша ланка - людська. Нова фішингова кампанія спонукає людей передавати свої дані облікового запису та їх жетони 2FA.

Звіт надходить від "Міжнародної амністії", яка зазвичай не публікує новини з кібербезпеки. У цьому випадку "Амністія" зацікавлена ​​в тому, що напади переважно орієнтовані на активістів та журналістів на Близькому Сході та в Північній Африці. Як пояснює Amnesty, існує кілька різних фішингу-кампаній, які, ймовірно, пов'язані між собою.

У найдосконалішій кампанії зловмисники націлювалися на сотні облікових записів Yahoo та Google, які використовують активісти. Мета полягає в тому, щоб обійти захист двох факторів та отримати доступ до облікового запису. Розглядаючи підозрілі електронні листи, позначені активістами в 2017 та 2018 роках, Amnesty виявив посилання, які стверджують, що це попередження про безпеку. Однак вони переспрямовують на фальшиву сторінку, яка збирає реквізити. Це не унікально, але наступна фаза піднімає її.

Після того, як ціль введено ім'я користувача та пароль, шкідливі сайти будуть дистанційно входити в обліковий запис. Потім він запитав код через SMS, якщо в обліковому записі було включено двофактор. Підроблений сайт запитував код, який, здавалося б, не зовсім звичайний - вам доведеться поставити код 2FA під час звичайного входу в систему. Однак, зловмисний сайт використовував цей код для входу в обліковий запис віддалено, перш ніж термін дії токенів закінчився. Користувачеві буде запропоновано змінити свій пароль, який потім зловмисник заощадить для подальшого використання.

Підробка журналу входу в Gmail із запитом коду 2FA.
Підробка журналу входу в Gmail із запитом коду 2FA.

Друга та третя кампанії використовували подібну тактику, але орієнтовані на користувачів зашифрованих служб електронної пошти Protonmail і Tutanota. В обох випадках атакуючі реєстрували, здавалося б, справжні домени з підробленими вхідними сторінками. З тих пір ці домени були закриті.

Міжнародна амністія вважає, що держави Затоки захищають фішингові кампанії, сподіваючись збирати інформацію про дисидентів та протестуючих у своїх країнах. Нехай це буде нагадуванням, що двофакторна аутентифікація - це не срібна куля. Ви все ще повинні бути насторожі електронних листів із посиланнями на зовнішні сторінки. Ви повинні ввести свої облікові дані на підтверджених сайтами справжньою угодою.