Фишинг атаките вече са невероятно често срещани. Този метод на киберпрестъпност може да бъде много ефективен при кражба на данни и не изисква огромно количество работа на базово ниво. Но фишингът също се предлага в много форми, една от които са атаки от противник по средата. И така, какво представляват фишинг атаките Adversary-in-the-Middle? И как можете да се отървете от тях?
Какво представляват атаките на противника по средата?
Фишинг атаката Adversary-in-the-Middle (AiTM) включва кражба на сесийни бисквитки за кражба на лични данни и дори заобикаляне на слоевете за удостоверяване.
Вероятно сте чували за бисквитките преди. Днес повечето сайтове, върху които кликвате, ще поискат вашето разрешение да използват бисквитки, за да приспособят по-точно вашето онлайн изживяване. Накратко, бисквитките проследяват вашата онлайн активност, за да разберат вашите навици. Те са малки текстови файлове с данни, които могат да бъдат изпращани до вашия сървър всеки път, когато щракнете върху нова уеб страница, което следователно дава възможност на определени страни да наблюдават вашата дейност.
Има много видове бисквитки. Някои са необходими, а други просто не. AiTM атаките са свързани със сесийни бисквитки. Това са бисквитки, които временно съхраняват потребителски данни по време на уеб сесия. Тези бисквитки се губят веднага след като затворите браузъра си.
Както винаги се случва с фишинга, AiTM фишинг атаката започва с комуникацията на киберпрестъпника с целта, обикновено чрез имейл. Тези измами също използват злонамерени уебсайтове за кражба на данни.
AiTM атаките са особено належащ проблем за потребителите на Microsoft 365, като нападателите се свързват с цели и ги молят да влязат в своите 365 акаунти. Злонамереният актьор ще се представя за официален адрес на Microsoft в тази измама, което също е типично при фишинг атаките.
Целта тук не е просто да се открадне информация за вход, а да се заобиколи многофакторното удостоверяване на жертвата (MFA) или двуфакторно удостоверяване (2FA) слой. Това са функции за сигурност, използвани за потвърждаване на влизане в акаунт чрез искане на разрешение от отделно устройство или акаунт, като вашия смартфон или имейл.
Киберпрестъпникът също ще използва прокси сървър, за да комуникира с Microsoft и да хоства фалшивата страница за вход 365. Този прокси позволява на атакуващия да открадне бисквитката на сесията и информацията за вход на жертвата. Когато жертвата въведе своята информация за вход в злонамерения сайт, след това ще открадне сесийната бисквитка, за да осигури фалшиво удостоверяване. Това дава възможност на атакуващия да заобиколи 2FA или MFA заявката на жертвата, като им дава директен достъп до техния акаунт.
Как да се предпазим от AiTM фишинг атаки
Въпреки че AiTM фишинг атаката се различава от типичната фишинг атака, все пак можете да използвате същите практики, за да избегнете първата, както бихте направили втората. Това започва с всички връзки, предоставени във вашите имейли.
Ако получите имейл от предполагаемо доверен подател, в който се посочва, че трябва да използвате предоставената връзка, за да влезете в един от вашите онлайн акаунти, бъдете внимателни. Това е класически фишинг трик и може да бъде притеснително лесно да се пропусне, особено ако нападателят използва убедителен или спешен език, за да ви убеди да влезете в акаунт възможно най-скоро.
Така че, ако получите имейл, който включва някакъв вид връзка, не забравяйте да го прекарате през a уебсайт за проверка на връзки преди да щракнете. Освен това, ако имейлът гласи, че трябва да влезете в акаунт, просто потърсете страницата за вход в браузъра си и влезте в акаунта си там. По този начин можете да видите дали има някакви проблеми, които трябва да разрешите във вашия акаунт, без да щракате върху предоставена връзка.
Също така трябва да избягвате да отваряте прикачени файлове, изпратени до вас от непознат адрес, дори ако подателят твърди, че е доверено лице. Злонамерените прикачени файлове могат да се използват и при фишинг атаки на AiTM, така че трябва да внимавате какво отваряте.
Накратко, ако няма реална нужда да отваряте прикачения файл, оставете го.
Ако, от друга страна, смятате, че трябва да отворите прикачения файл, изпълнете няколко бързи проверки, преди да го направите. Трябва да погледнете типа на файла на прикачения файл, за да определите дали трябва да се счита за подозрителен. Известно е например, че файловете .pdf, .doc, zip и .xls се използват в злонамерени прикачени файлове, така че внимавайте, ако даден прикачен файл е един от тези типове файлове.
Освен това проверете контекста на имейла. Ако подателят твърди, че прикаченият файл съдържа документ, като банково извлечение, но файлът има разширение .mp3, вероятно имате работа с измамен и потенциално опасен прикачен файл, тъй като MP3 файл не би се използвал за документ.
Вижте адреса на подателя на всеки подозрителен имейл, който получавате. Разбира се, всеки имейл адрес е уникален, така че нападателят не може да използва официален фирмен имейл адрес, за да комуникира с вас, освен ако не е бил хакнат. В случай на фишинг измамниците често използват имейл адреси, които донякъде приличат на официалния адрес на организацията.
Например, ако получите имейл от някой, който претендира за Microsoft, но забележите, че адресът гласи „micr0s0ft“ вместо „Microsoft“, имате работа с фишинг измама. Престъпниците също ще добавят допълнителна буква или номер към имейл адрес, така че да изглежда много подобен, но не идентичен, на законния адрес.
Можете дори да определите дали връзката е подозрителна, като я разгледате. Злонамерените сайтове често имат връзки, които изглеждат необичайно. Например, ако в имейл се посочва, че предоставената връзка ще ви изпрати до страница за вход на Microsoft, но URL адресът посочва, че това е напълно различен уебсайт, избягвайте. Проверката на домейна на уебсайта може да бъде особено полезна за избягване на фишинг.
И накрая, ако получите имейл от уж официален източник, който е пълен с правописни и граматически грешки, вероятно си имате работа с измамник. Официалните компании често гарантират, че техните имейли са написани правилно, докато киберпрестъпниците понякога могат да бъдат небрежни в комуникацията си. Така че, ако имейл, който сте получили, е написан много мързеливо, бъдете внимателни с това как процедирате.
Бъдете нащрек, за да избегнете AiTM фишинг атаки
Фишингът е изключително разпространен и се използва за насочване както към отделни лица, така и към организации, което означава, че никой не е наистина застрахован от тази заплаха. Така че, за да избягвате AiTM фишинг атаки и фишинг като цяло, вземете под внимание съветите, дадени по-горе, за да защитите данните си.
