Prošle nedelje sam analizirao fišing komplet kada sam primetio nešto u HTML-u što nije trebalo da bude tamo: skriveno polje forme bez vidljivog pandana. Drugi delovi koda su pratili pokrete miša, pritiske na tastaturu i klikove kako bi proverili ljudsko ponašanje. Ali zakopano na dnu bilo je skriveno polje za unos programski dodato formi, nevidljivo za korisnike, sa nazivom polja „veb lokacija“:
Nije bilo deo korisničkog interfejsa. Žrtva ga nikada ne bi videla. Pa, zašto je bilo tamo? Zato što nije bilo dizajnirano da uhvati žrtve. Bilo je dizajnirano da uhvati nas.
Nevidljiva prepreka
Kao lovac na sajber pretnje, analiziram desetine fišing sajtova mesečno. Većina su ili nemarni poslovi kopiranja i lepljenja ili kompleti za pretplatu na fišing kao uslugu. Ali ova kampanja je bila malo drugačija. Odredišna stranica je izgledala dovoljno dosadno: čist, korporativni stilizovan zahtev koji traži od korisnika da „Verifikuje svoju adresu e-pošte“ pre nego što nastavi:
Kao što se i očekivalo, sadržaj ovog polja je poslat kompletu „Protivnik u sredini“, kako bi se polje e-pošte prethodno podnelo u zahtevu za akreditiv. Ali kada sam pregledao DOM, pronašao sam neslaganje između onoga što je prikazano i onoga što je postojalo u kodu.
U redu, ova tehnika polja „honeypot“ zapravo nije nova i, u stvari, ima legitimno poreklo. Veb programeri koriste polja „honeypot“ od ranih 2000-ih da bi zaštitili kontakt forme i stranice za registraciju. Logika je elegantna: ljudi ne mogu da vide skriveno polje, pa ga ostavljaju prazno. Spam botovi analiziraju HTML, vide unos pod nazivom „veb lokacija“ i dužno ga popunjavaju URL-om. Svaki podnesak sa podacima u „honeypot“-u se tiho odbacuje.
To je briljantna, pasivna odbrana. Nema trenja sa CAPTCHA-om ili dosađivanja korisnicima, samo tiha zamka za hvatanje automatizovane zloupotrebe. I ovde vidimo kako su operateri fišinga kopirali to, red po red, da bi nas uhvatili.
Evo kako to funkcioniše u njihovom kontekstu: Rudimentarni bezbednosni skeneri analiziraju sirovi HTML. Kada naiđu na polje za unos, njihovo programiranje ih primorava da ga popune kako bi testirali ranjivosti ili pokrenuli akciju slanja:
Skriveno polje prazno? Verovatno čovek, pređite na AitM proksi komplet
Skriveno polje ima podatke? Verovatno bot, prikažite poruku o grešci
Motor ispod haube: Prikrivanje saobraćaja
Medicinski filter je samo jedan od početnih filtera. Iza njega se nalazi ogromna bekend industrija pod nazivom Prikrivanje saobraćaja. Prvobitno razvijen da zaustavi i izvrši prevaru oglasima, sada je oružje za fišing. Sofisticirane usluge koštaju 1000 dolara mesečno i uzimaju otiske prstiju svakog posetioca u milisekundama. To nije novac za decu iz skripti; to je ulaganje u infrastrukturu. Oni proveravaju:
Bihejvioralna biometrija: Aktivnost miša, ritam kucanja. Ljudi su neuredni; botovi su linearni i trenutni.
Otisak prsta uređaja: Da li navigator.webdriver vraća vrednost „true“? Da li WebGL renderer identifikuje kao „Google SwiftShader“ (bezglavi Chrome) umesto stvarnog hardvera?
IP reputacija: Rezidencijalni internet provajder ili centar podataka bezbednosnog proizvođača?
Trovanje bunara
Evo gde stvari postaju lukave. Kada fišing kompleti otkriju botove, skenere i istraživače, oni vas ne samo blokiraju. Oni prikazuju „bezbednu stranicu“:
Zašto? Da bi se otrovale informacije o pretnjama.
Kada pretraživač dobavljača bezbednosnih sistema dospe na taj blog, on kategoriše domen kao, na primer, „Maloprodaja“ ili „Tehnologija/Benigno“. Ta klasifikacija se širi na zaštitne zidove, URL filtere i liste blokiranja, tako da se domen stavlja na belu listu. Dok prava žrtva klikne na link i vidi stvarnu fišing stranicu, bezbednosni alati su je već označili kao bezbednu.
Gledao sam kako domeni ostaju aktivni nedeljama ili čak mesecima koristeći ovu tehniku. Bez prikrivanja, većina fišing sajtova brzo biva „spaljena“.
Svet ogledala: Odbrana postaje napad
Uvek me nasmeje kada vidim da napadači često ne izmišljaju nove tehnike, već samo kopiraju naše.
Legitimni sajtovi koriste „honeypots“ da bi sprečili spam da uđe u njihove baze podataka, dok fišing sajtovi koriste „honeypots“ da bi sprečili skenere da uđu u njihovu infrastrukturu. Isti kod, obrnuti kontekst.
Ovaj obrazac se ponavlja svuda:
CAPTCHA, prvobitno dizajnirana za odbranu veb lokacija, sada se pojavljuje na najmanje 90% fišing sajtova koje analiziram. Dvostruka namena:
Tehnička: Sprečava automatizovane pretraživače da dođu do fišing sadržaja.
Psihološka: Gradi poverenje. Kada žrtve vide Cloudflare Turnstile ili Google reCAPTCHA, pomisle: „Ovaj sajt ima bezbednosne provere. Mora da je legitiman.“
Šta je iza zavese
Zašto se toliko truditi da se sakrijete? Zato što je ono što je zaštićeno vredno: napadi tipa „protivnik u sredini“ u realnom vremenu koji kradu kolačiće sesije, a ne lozinke. Komplet deluje kao živi proksi, prenoseći akreditive i 2FA kodove stvarnoj usluzi. Kada pravi sajt izda kolačić sesije, napadač ga hvata. Nije potrebna lozinka, nije potrebno zaobilaženje 2FA. Samo uzmite token iz kolačića i unutra ste. Pretražite prijemno sanduče za monetizacioni sadržaj, poput fakture za replikaciju, a zatim je spalite slanjem sledećeg talasa fišing imejlova. To vredi zaštititi kontraobaveštajnim aktivnostima.
Kako uzvratiti udarac
- Skenirajte kao žrtva, a ne kao server
Sistemi za prikrivanje trenutno stavljaju IP adrese data centara na crnu listu. U našem programu lova, usmeravamo analitički saobraćaj kroz stambene i mobilne proksije i oponašamo stvarne hardverske/softverske otiske prstiju, tako da vidimo šta mete vide. Međutim, imajte na umu da to ponekad znači da stranicu blokira bezbednosni uređaj internet provajdera ili DNS filtriranje.
- Lov na negativni prostor
Mednik koji sam pronašao bio je nevidljiv oku, ali očigledan čim sam pogledao kod (mada, da budem iskren, to je zato što ova odredišna stranica nije koristila nikakvo zamagljivanje). Ako je izvodljivo, ažurirajte svoja pravila detekcije da biste označili skrivene unose u formulare na stranicama za prijavu.
- Prestanite da učite korisnike da CAPTCHA znače bezbednost
Godinama smo obučavali korisnike da su ikona katanca i CAPTCHA dobri znaci, i napadači to znaju. Do sada, napadači koriste CAPTCHA i SSL više nego legitimni sajtovi.
Ažurirajte svoje programe za podizanje svesti o bezbednosti: CAPTCHA na neočekivanom linku nije bezbednosna funkcija. U najboljem slučaju, to je kapija dizajnirana da spreči automatizovanu odbranu, a u najgorem slučaju to je napad u stilu ClickFix-a. Ako morate da rešite zagonetku samo da biste videli „deljeni interni dokument“, upadate u zamku.
Trka u naoružanju se nastavlja
Front-end lovci na fišing sajtovima su samo jedan aspekt šire promene koju sam posmatrao tokom poslednjih nekoliko godina: napadači tretiraju svoje kampanje kao legitimne SaaS proizvode: optimizacija vremena rada, upravljanje bot saobraćajem, A/B testiranje odredišnih stranica.
Suočavamo se sa inženjerskim timovima koji imaju planove za razvoj proizvoda i kanale za korisničku podršku. Rešenje nije još jedan poster o „prelasku kursorom preko linka“ ili duži PowerPoint o pravopisnim greškama. To je promena načina razmišljanja u kojoj prestajemo da tretiramo fišing kao sporedni zadatak. Napadači su već ukrali naše „honeypots“, naš CAPTCHA i naše planove. Jedino pravo pitanje sada je da li smo spremni da im nešto ukrademo: njihovu disciplinu. Ako možemo da naučimo naše odbrambene timove da primenjuju nauku i umetnost analize jednako efikasno kao što to rade napadači, onda sledeći put kada se skriveni kod pojavi u fišing kompletu, to neće biti njihova prevara. Biće naša.