BezpieczeństwoInnowacyjna „usługa” phishingową Greatness – jak się przed nią uchronić? > Robert Kamiński Opublikowane 6 czerwca 20230 0 134 Podziel się Facebook Podziel się Twitter Podziel się Google+ Podziel się Reddit Podziel się Pinterest Podziel się Linkedin Podziel się Tumblr Nowa usługa phishing-as-a-service (PaaS) o nazwie Greatness została wykryta przez ekspertów z firmy Cisco Talos, dostawcy rozwiązań z zakresu cyberbezpieczeństwa. Ta zaawansowana platforma wykorzystuje funkcje typowe dla najbardziej innowacyjnych ofert PaaS, umożliwiając skuteczne oszustwa internetowe. Eksploatuje ona takie techniki jak obejście wieloskładnikowego uwierzytelniania (MFA), filtrację IP oraz integrację z botami na popularnej platformie komunikacyjnej Telegram.Według raportu opublikowanego przez Cisco Talos, Greatness rozpoczął swoją działalność w drugiej połowie 2022 roku, szybko stając się jednym z najbardziej niebezpiecznych narzędzi wykorzystywanych przez cyberprzestępców. Przemyślana architektura tej usługi pozwala użytkownikom na wykonywanie skomplikowanych ataków phishingowych bez konieczności posiadania szczególnych umiejętności technicznych.Ataki phishingowe stanowią jedno z najpoważniejszych zagrożeń dla użytkowników internetu i przedsiębiorstw. Greatness, jako nowy gracz na rynku, wykorzystuje najnowocześniejsze techniki, aby przekonać użytkowników do podania poufnych danych, takich jak hasła, dane karty kredytowej czy dane osobowe. Oszustwa tego typu mogą prowadzić do kradzieży tożsamości, strat finansowych oraz naruszenia prywatności.Przebieg atakuOfiara otrzymuje złośliwy e-mail, który zazwyczaj zawiera plik HTML jako załącznik. Gdy ofiara otworzy plik HTML, przeglądarka internetowa wykonuje krótki fragment zamaskowanego kodu JavaScript, który nawiązuje połączenie z serwerem atakującego w celu uzyskania kodu HTML strony phishingowej i wyświetlenia go użytkownikowi w tym samym oknie przeglądarki. Kod ten zawiera zamazany obraz, który przedstawia wirujące koło, udając, że ładuje dokument.Następnie strona przekierowuje ofiarę na stronę logowania Microsoft 365, zwykle wstępnie wypełnioną adresem e-mail ofiary oraz tłem i logo używanym przez jej firmę. Gdy ofiara podaje swoje hasło, PaaS łączy się z Microsoft 365, podszywa się pod ofiarę i podejmuje próbę logowania. Jeśli używane jest MFA, usługa wyświetli ofierze monit o uwierzytelnienie przy użyciu metody MFA wymaganej przez prawdziwą stronę Microsoft 365 (np. kod SMS, kod połączenia głosowego, powiadomienie push).Gdy usługa otrzyma autoryzację, będzie nadal podszywać się pod ofiarę za kulisami i dokończy proces logowania, aby zebrać uwierzytelnione pliki cookie sesji. Następnie zostaną one dostarczone do partnera usługi na jego kanale Telegram lub bezpośrednio przez panel internetowy.Cisco Talos podkreśla konieczność podjęcia odpowiednich środków ostrożności w celu ochrony przed tym rodzajem zagrożeń. Firmy i użytkownicy indywidualni powinni być świadomi ryzyka związanego z phishingiem i skutecznie chronić swoje dane osobowe oraz poufne informacje. Zapewnienie odpowiedniego szkolenia z zakresu cyberbezpieczeństwa oraz stosowanie różnych metod zabezpieczeń, takich jak silne hasła, dwuskładnikowe uwierzytelnianie i oprogramowanie antywirusowe, może pomóc w minimalizacji ryzyka ataków.W obliczu coraz bardziej zaawansowanych i trudnych do wykrycia usług phishing-as-a-service, współpraca między sektorem prywatnym a ekspertami ds. cyberbezpieczeństwa staje się niezwykle ważna. Odkrycie Greatness przez zespół ekspertów z Cisco Talos jest dowodem na ciągłą potrzebę innowacji i monitorowania w dziedzinie cyberbezpieczeństwa w celu ochrony użytkowników przed ewolucją zagrożeń w cyberprzestrzeni.Jak zabezpieczyć się przed Greatness:Cisco Secure Endpoint (dawniej AMP for Endpoints) idealnie zapobiega opisanej formie ataków. Secure Endpoint można wypróbować za darmo tutaj.Skanowanie stron internetowych Cisco Secure Web Appliance zabezpiecza przed połączeniem się ze złośliwych stron internetowych i wykrywa złośliwe oprogramowanie wykorzystywane w tych atakach.Cisco Secure Email (dawniej Cisco Email Security) może blokować złośliwe wiadomości e-mail wysyłane przez cyberprzestępców w trakcie ataków. Secure Email można wypróbować za darmo tutaj.Urządzenia Cisco Secure Firewall (dawniej Next-Generation Firewall i Firepower NGFW), takie jak Threat Defense Virtual, Adaptive Security Appliance i Meraki MX mogą wykrywać złośliwą aktywność związaną z tym zagrożeniem.Cisco Secure Malware Analytics (Threat Grid) identyfikuje złośliwe kody binarne i wbudowuje ochronę we wszystkie produkty Cisco Secure.Umbrella, bezpieczna brama internetowa (SIG) firmy Cisco, blokuje użytkowników przed łączeniem się ze złośliwymi domenami, adresami IP i URL, niezależnie od tego, czy użytkownicy znajdują się w sieci firmowej, czy poza nią. Bezpłatna wersja próbna dostępna jest tutaj.Cisco Secure Web Appliance (dawniej Web Security Appliance) automatycznie blokuje potencjalnie niebezpieczne witryny i testuje podejrzane strony, zanim użytkownicy uzyskają do nich dostęp.Dodatkowe zabezpieczenia w kontekście konkretnego środowiska i danych o zagrożeniach są dostępne w Firewall Management Center.Klienci korzystający z open-source Snort Subscriber Rule Set mogą być na bieżąco, pobierając najnowszy pakiet reguł dostępny do nabycia na stronie org.
