Phishingové útoky jsou nyní neuvěřitelně běžné. Tato metoda kybernetické kriminality může být velmi účinná při krádeži dat a nevyžaduje velké množství práce na základní úrovni. Ale phishing má také mnoho forem, jednou z nich jsou útoky Adversary-in-the-Middle. Co jsou tedy phishingové útoky Adversary-in-the-Middle? A jak se jim můžete vyhnout?
Co jsou útoky protivníka uprostřed?
Phishingový útok Adversary-in-the-Middle (AiTM) zahrnuje krádež souborů cookie relace za účelem odcizení soukromých dat a dokonce obcházení ověřovacích vrstev.
Pravděpodobně jste již slyšeli o cookies. Dnes vás většina webů, na které kliknete, požádá o povolení používat soubory cookie, aby si lépe přizpůsobily váš online zážitek. Stručně řečeno, soubory cookie sledují vaši online aktivitu, aby porozuměly vašim zvykům. Jsou to malé textové soubory dat, které lze odeslat na váš server pokaždé, když kliknete na novou webovou stránku, což dává určitým stranám možnost sledovat vaši aktivitu.
Existuje mnoho druhů cookies. Některé jsou nezbytné a některé prostě ne. Útoky AiTM se týkají souborů cookie relace. Jedná se o soubory cookie, které dočasně ukládají uživatelská data během webové relace. Tyto soubory cookie jsou okamžitě ztraceny, jakmile vypnete prohlížeč.
Jako vždy u phishingu začíná phishingový útok AiTM tím, že kyberzločinec komunikuje s cílem, obvykle prostřednictvím e-mailu. Tyto podvody také používají škodlivé webové stránky ke krádeži dat.
Útoky AiTM byly obzvláště naléhavým problémem pro uživatele Microsoft 365, kdy útočníci kontaktovali cíle a žádali je, aby se přihlásili ke svým účtům 365. Zákeřný herec se v tomto podvodu bude vydávat za oficiální adresu Microsoftu, což je také typické pro phishingové útoky.
Cílem zde není jen ukrást přihlašovací údaje, ale obejít vícefaktorovou autentizaci oběti (MFA) resp. dvoufaktorové ověřování (2FA) vrstva. Jedná se o bezpečnostní funkce, které se používají k ověření přihlášení k účtu vyžádáním povolení od samostatného zařízení nebo účtu, jako je váš smartphone nebo e-mail.
Kyberzločinec bude také používat proxy server ke komunikaci se společností Microsoft a hostování falešné přihlašovací stránky 365. Tento proxy umožňuje útočníkovi ukrást soubor cookie relace a přihlašovací údaje oběti. Když oběť zadá své přihlašovací údaje na škodlivý web, pak ukradne soubor cookie relace, aby poskytl falešné ověření. To dává útočníkovi možnost obejít požadavek oběti na 2FA nebo MFA a poskytuje jim přímý přístup k jejich účtu.
Jak se chránit před AiTM phishingovými útoky
I když se phishingový útok AiTM liší od typického phishingového útoku, stále můžete použít stejné postupy, abyste se vyhnuli prvnímu jako druhému. Začíná to všemi odkazy uvedenými ve vašich e-mailech.
Pokud obdržíte e-mail od údajně důvěryhodného odesílatele, který uvádí, že k přihlášení k některému ze svých online účtů musíte použít uvedený odkaz, buďte opatrní. Jedná se o klasický phishingový trik, který lze znepokojivě snadno přehlédnout, zvláště pokud útočník používá přesvědčivý nebo naléhavý jazyk, aby vás přesvědčil, abyste se co nejdříve přihlásili k účtu.
Pokud tedy obdržíte e-mail, který obsahuje jakýkoli druh odkazu, nezapomeňte jej spustit prostřednictvím a webové stránky pro kontrolu odkazů než kliknete. Kromě toho, pokud je v e-mailu uvedeno, že se musíte přihlásit k účtu, jednoduše vyhledejte přihlašovací stránku ve svém prohlížeči a otevřete svůj účet tam. Tímto způsobem můžete zjistit, zda existují nějaké problémy, které je třeba vyřešit na vašem účtu, aniž byste klikali na jakýkoli druh poskytnutého odkazu.
Měli byste se také vyhnout otevírání příloh, které vám byly zaslány z neznámé adresy, i když odesílatel tvrdí, že je důvěryhodnou osobou. Škodlivé přílohy lze také použít při phishingových útocích AiTM, takže je třeba dávat pozor na to, co otevíráte.
Stručně řečeno, pokud není potřeba přílohu otevírat, nechte ji být.
Pokud se naopak domníváte, že je třeba přílohu otevřít, proveďte před tím několik rychlých kontrol. Měli byste se podívat na typ souboru přílohy, abyste zjistili, zda by měla být považována za podezřelou. Například je známo, že soubory .pdf, .doc, zip a .xls se používají ve škodlivých přílohách, takže buďte opatrní, pokud je daná příloha jedním z těchto typů souborů.
Kromě toho zkontrolujte kontext e-mailu. Pokud odesílatel tvrdí, že příloha obsahuje dokument, například výpis z účtu, ale soubor má příponu .mp3, pravděpodobně máte co do činění s klamavou a potenciálně nebezpečnou přílohou, protože soubor MP3 by nebyl použit pro dokument.
Podívejte se na adresu odesílatele jakéhokoli podezřelého e-mailu, který obdržíte. Každá e-mailová adresa je samozřejmě jedinečná, takže útočník nemůže ke komunikaci s vámi použít oficiální firemní e-mailovou adresu, pokud nebyla napadena. V případě phishingu budou podvodníci často používat e-mailové adresy, které vypadají trochu podobně jako oficiální adresa organizace.
Pokud například obdržíte e-mail od někoho, kdo si nárokuje společnost Microsoft, ale všimnete si, že adresa zní „micr0s0ft“ místo „Microsoft“, máte co do činění s phishingovým podvodem. Zločinci také přidají k e-mailové adrese další písmeno nebo číslo, aby vypadala velmi podobně, ale ne identicky, s legitimní adresou.
Můžete dokonce určit, zda je odkaz podezřelý, když se na něj podíváte. Škodlivé stránky budou často obsahovat odkazy, které vypadají neobvykle. Pokud například e-mail uvádí, že uvedený odkaz vás přesměruje na přihlašovací stránku společnosti Microsoft, ale adresa URL uvádí, že se jedná o zcela jiný web, vyhýbejte se. Kontrola domény webu může být zvláště užitečná při zamezení phishingu.
A konečně, pokud obdržíte e-mail z údajně oficiálního zdroje, který je plný pravopisných a gramatických chyb, pravděpodobně máte co do činění s podvodníkem. Oficiální společnosti často zajistí, aby jejich e-maily byly psány správně, zatímco kyberzločinci mohou být někdy ve své komunikaci nedbalí. Pokud je tedy e-mail, který jste obdrželi, napsán velmi líně, buďte opatrní při postupu.
Buďte ve střehu, abyste se vyhnuli phishingovým útokům AiTM
Phishing je velmi rozšířený a používá se k cílení na jednotlivce i organizace, což znamená, že nikdo není před touto hrozbou skutečně v bezpečí. Abyste se tedy vyhnuli phishingovým útokům AiTM a phishingu obecně, zvažte výše uvedené tipy, jak udržet svá data v bezpečí.