MFA jest lepsze niż samo hasło. To pewne. Jednak samo MFA dawno nie daje już poczucia bezpieczeństwa. Tradycyjne metody typu SMS, TOTP mogą być już w łatwy sposób oszukane i w tym artykule zajmiemy się właśnie tym tematem.
Podstęp i Technologia: Schemat Ataku
Wyobraźmy sobie scenariusz, w którym cyberprzestępca chce przejąć konto Microsoft 365. Zaczyna od stworzenia przekonującej imitacji legalnej domeny, a następnie, wykorzystując socjotechnikę, przekonuje użytkownika do kliknięcia w zainfekowany link zawarty w wiadomości e-mail. Użytkownik klika w legalnie wyglądający link nie wiedząc, że w tle zaczął już działać „Evilginx”.
Narzędzie Evilginx: Phishing na Wyższym Poziomie
Evilginx to złośliwe narzędzie typu „man-in-the-middle”, które umożliwia hakerom przechwycenie poświadczeń i tokenów uwierzytelniających, omijając w ten sposób uwierzytelnianie wieloskładnikowe (MFA). Proces ten zaczyna się od sklonowania repozytorium Evilginx i przygotowania odpowiedniego środowiska do przeprowadzenia ataku, czy to na systemie Linux, czy Windows.
Konfiguracja Środowiska Ataku
Przestępcy ustawiają serwer phishingowy, wykorzystując usługi takie jak Digital Ocean, tworząc wiarygodnie wyglądający fałszywy serwis internetowy. Cel to skłonienie potencjalnej ofiary do nieświadomego podania swoich danych logowania.
Phislets: Klucz do Skutecznego Phishingu
Phislets to konfiguracyjne skrypty wykorzystywane przez Evilginx do kierowania ataku na konkretne strony internetowe. Stworzenie phislet wymaga znajomości struktury atakowanej strony i odpowiedniego dostosowania zmiennych, takich jak proxy hosts, tokeny autoryzacji czy dane uwierzytelniające użytkownika.
Atak z Wykorzystaniem Evilginx na Żywo
John Hammond na swoim kanale YouTube zademonstrował ostatnio jak za pomocą Evilginx przeprowadzić atak phishingowy na konto Microsoft 365. Wideo pokazuje modyfikację plików YAML, konfigurację domeny i wykorzystanie reverse proxy w celu wyłudzenia danych logowania.
Socjotechnika w Akcji
Aspekt socjotechniczny w atakach phishingowych jest tak samo ważny jak narzędzia i techniki hakerskie. Wykorzystując umiejętności manipulacyjne, przestępcy celują w naturalne skłonności i odruchy człowieka, takie jak zaufanie, strach, czy pilność działania, by wywołać automatyczną, nierozważną odpowiedź. Przez stworzenie iluzji autentyczności, takiej jak podszycie się pod oficjalne komunikaty znanych firm czy instytucji, zmuszają ofiary do ujawnienia swoich danych w procesie, który na pierwszy rzut oka wydaje się być standardową procedurą weryfikacyjną. To właśnie socjotechnika umożliwia przestępcom przejście przez zabezpieczenia dwuetapowe, gdzie drugi czynnik – człowiek i jego tendencje – jest najsłabszym ogniwem. Poprzez wykorzystanie technik psychologicznych, przestępcy nie tylko skutecznie wyłudzają informacje uwierzytelniające, ale także są w stanie zainstalować na urządzeniach ofiar szkodliwe oprogramowanie czy uzyskać dostęp do wrażliwych zasobów, wykorzystując je do dalszych oszustw lub sprzedaży na czarnym rynku, co ostatecznie prowadzi do przejęcia pełnej kontroli nad skompromitowanymi kontami.
Przejmowanie Pełnych Uprawnień
W momencie, gdy przestępcy cyfrowi uzyskają dostęp do danych logowania, otwiera się przed nimi możliwość eskalacji uprawnień aż do poziomu administratora, co stanowi szczególnie niebezpieczny wymiar cyberataków. Posiadając pełne uprawnienia administracyjne, mogą oni nie tylko swobodnie poruszać się po zasobach sieciowych, manipulować danymi, tworzyć lub usuwać konta użytkowników, ale również implementować backdoory, które zapewnią długotrwały dostęp do systemu nawet po wykryciu i usunięciu pierwotnego punktu wejścia. Takie działanie zagraża nie tylko bezpośredniej ciągłości biznesowej, ale również stwarza ryzyko wycieku wrażliwych danych, w tym informacji osobowych klientów i pracowników, co może prowadzić do znacznych strat finansowych oraz reputacyjnych dla organizacji. Przejmowanie pełnych uprawnień przez atakującego przekształca pierwotny atak phishingowy w trwałe i złożone zagrożenie, które wymaga znacznie bardziej skomplikowanej i kosztownej interwencji, by przywrócić bezpieczeństwo i integralność systemów informatycznych.
Jak Obronić się przed Evilginx i Obejściem MFA
Rozwój narzędzi takich jak Evilginx2 podkreśla ewolucję technik phishingowych, które stają się coraz bardziej wyrafinowane, wykorzystując ataki typu man-in-the-middle (MitM) do kradzieży poświadczeń logowania oraz tokenów uwierzytelniających dwuskładnikowe. Wykorzystanie tego rodzaju narzędzi przez osoby atakujące stanowi znaczące zagrożenie dla cyberbezpieczeństwa organizacji na całym świecie. Jednak, jak wskazano podczas dyskusji poprowadzonej przez Adama Haertle (Zaufana Trzecia Strona), istnieją metody i narzędzia, które pozwalają skutecznie przeciwdziałać takim zagrożeniom.
Ważnym elementem obrony przed atakami wykorzystującymi Evilginx2 jest Secfense User Access Security Broker (UASB), opracowany przez Marcina Szarego, CTO i współzałożyciela firmy Secfense. To rozwiązanie umożliwia wdrożenie silnego uwierzytelniania (np. FIDO2, passkeys) na szeroką skalę bez potrzeby modyfikacji istniejących aplikacji czy infrastruktury. Podczas webinaru, w którym wystąpił również twórca rozwiązania Evilginx2 Kuba Gretzky podjęto temat efektywności uwierzytelniania FIDO w przeciwdziałaniu tego rodzaju zagrożeniom oraz omówiono, w jaki sposób Secfense UASB ułatwia implementację FIDO, eliminując potrzebę pisania kodu.
Jeśli chcą Państwo zgłębić techniczne niuanse działania Evilginx2 oraz zrozumieć, jak Secfense UASB może wzmocnić strategię obronną Państwa organizacji, zachęcamy do rejestracji i obejrzenia zapisu dyskusji z udziałem twórców tych dwóch technologii. Jest to wyjątkowa okazja, aby nauczyć się praktycznych strategii wdrażania uwierzytelniania FIDO i lepiej zrozumieć ograniczenia tradycyjnego MFA oraz metody ich przezwyciężania.
Oprócz zdobycia wiedzy eksperckiej, webinar jest szansą na zrozumienie, jak kontrastujące końce spektrum cyberbezpieczeństwa – atakujący i obrońcy – mogą wpływać na kształtowanie przyszłości bezpieczeństwa w internecie.
