Phishing w nowej odsłonie

W internecie pojawiły się oferty sprzedaży usług typu PaaS, które wykorzystują nową technikę włamywania się do systemów IT. Ich twórcy sprzedają potencjalnym hakerom fałszywe strony logowania się do różnych chmur, dzięki którym mogą wykradać z nich hasła i nazwy biznesowych użytkowników takich środowisk obliczeniowych.

Foto: Mikhail Nilov/Pexels

Szczególnie aktywna jest tu grupa cyberprzestępców nosząca nazwę BulletProofLink, która sprzedaje szablony rozsyłające wiadomości pocztowe i linki, które pozwalają inicjować kampanie phishingowe. Twórcy takich hakerskich pakietów wstawiają do nich linki typu FUD (Fully Undetectable), co oznacza iż imitują w perfekcyjny sposób odwołania funkcjonujących legalnie zasobów internetowych. Pakiety takie – które są dostępne w ponad stu różnych konfiguracjach - można nawet kupować w formie subskrypcji tygodniowej, dwutygodniowej, miesięcznej lub rocznej.

Dostawcy takich usług phishingowych pomagają mniej doświadczonym technicznie gangom ransomware atakować systemy IT. Kupujący taką usługę haker ma nieraz gotowe do wykorzystania dane uwierzytelniające np. administratora zarządzającego atakowanym system IT, co znakomicie ułatwia mu zadanie.

Zobacz również:

  • Biały Dom chce wzmocnić kontrolę nad sztuczną inteligencją
  • Chrome lepiej zadba o prywatność użytkowników. Czy na pewno?

W przeciwieństwie do niektórych operacji ransomware, haker nie ma wtedy bezpośredniego dostępu do atakowanego serwera, a zamiast tego otrzymują skradzione wcześniej przez dostawce usługi dane uwierzytelniające różne osoby korzystające w usług takiego serwera.

Sprzedawane przez grupę BulletProofLink pakiety RaaS zawierają dane pozwalające się logować między innymi do takich internetowych usług, jak OneDrive, LinkedIn, Adobe, Dropbox czy Google Docs. Widząc na tej liście usługę OneDrive, sprawą zainteresował się ostatnio Microsoft. Informatycy stwierdzili, że w czasie jednej takiej kampanii phishingowej hakerzy wykorzystali kilkaset subdomen używając techniki, której nadali nazwę "infinite subdomain abuse", co można przetłumaczyć jako metoda „nieskończonego wykorzystania subdomen”.

Polega ona na włamywaniu się do serwerów DNS, które konwertują internetowe nazwy witryn na numery IP. Są to bardzo wyrafinowane ataki, dzięki którym hakerzy inicjujący kampanie phishingowe mogą tworzyć teoretycznie nieskończoną ilość unikalnych adresów URL, które są bardzo trudne do wykrycia.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200