Một nhóm nghiên cứu cho biết họ đã phát hiện hơn 1.200 trang web sử dụng phishing toolkits, còn gọi là bộ công cụ lừa đảo MitM (Man-in-the-Middle), được triển khai trong thực tế cho phép tin tặc vượt qua bảo mật xác thực hai yếu tố (2FA).
Những công cụ này rất phổ biến trong thế giới tội phạm mạng trong những năm gần đây, sau khi các công ty công nghệ lớn bắt đầu đưa 2FA trở thành tính năng bảo mật mặc định cho người dùng của họ.
Trước đó, những kẻ tấn công lừa người dùng nhập thông tin đăng nhập trên một trang web lừa đảo đã phát hiện ra rằng thông tin đăng nhập bị đánh cắp trở nên vô dụng vì họ không thể vượt qua quy trình 2FA.
Do đó, chúng bắt đầu tìm kiếm và sử dụng các công cụ mới để vượt qua 2FA bằng cách đánh cắp tệp cookie xác thực được tạo trong trình duyệt sau khi người dùng đã hoàn tất quá trình 2FA để đăng nhập vào tài khoản.
Các nhóm tội phạm mạng đã lợi dụng một nhóm phần mềm độc hại được gọi là “infostealer” để đánh cắp các tệp cookie xác thực từ những máy tính bị xâm phạm hoặc đánh cắp cookie trong khi nó được gửi qua internet từ nhà cung cấp dịch vụ đến máy tính người dùng.
“Lừa đảo thời gian thực” và “lừa đảo MitM”
Trong vài năm qua, tội phạm mạng đã vượt qua yêu cầu 2FA chủ yếu bằng cách sử dụng hai kỹ thuật.
Cách đầu tiên được gọi là “lừa đảo thời gian thực”: Cách này cần có một người ngồi điều khiển trang web trong khi người dùng đang tương tác với trang web lừa đảo.
Khi người dùng nhập thông tin đăng nhập của họ trên trang web lừa đảo, kẻ tấn công sẽ sử dụng thông tin đăng nhập này để đăng nhập trên trang web thực.
Khi gặp yêu cầu xác thực 2FA, kẻ tấn công sẽ yêu cầu người dùng cung cấp mã 2FA xác thực (nhận được qua email, SMS hoặc ứng dụng xác thực), sau đó sử dụng dụng thông tin này để xác thực trên trang web thực và đăng nhập thành công vào tài khoản của nạn nhân.
Lừa đảo thời gian thực thường được sử dụng để truy cập trái phép vào các giao dịch ngân hàng trực tuyến có phiên đăng nhập của người dùng trong khoảng một vài phút và lấy cắp tiền của nạn nhân từ tài khoản của họ ngay lập tức.
Đối với các dịch vụ thông thường như email, tài khoản mạng xã hội, trò chơi trực tuyến,… có thời hạn phiên đăng nhập dài hơn và cookie xác thực đôi khi có giá trị trong nhiều năm.
Kẻ tấn công có thể sử dụng các công cụ lừa đảo MitM để đánh cắp cookie và dùng nó để truy cập tài khoản nạn nhân trong thời gian dài---+ mà không bị phát hiện.
Tin tặc sử dụng công cụ này như một reverse proxy để chuyển tiếp lưu lượng truy cập giữa nạn nhân, trang web lừa đảo và dịch vụ hợp pháp.
Công cụ lừa đảo đứng giữa người dùng và trang web hợp pháp để chuyển tiếp các request của hai bên. Tất cả lưu lượng truy cập đều đi qua hệ thống reverse proxy nên kẻ tấn công có thể lấy được cookie xác thực để truy cập vào tài khoản người dùng hoặc bán cookies này trên các thị trường ngầm.
Bộ công cụ lừa đảo MitM cũng là một công cụ lừa đảo theo thời gian thực nhưng không cần người thực hiện vì mọi thứ đều được tự động hóa thông qua reverse proxy.
Hiện có nhiều bộ công cụ lừa đảo MitM được xây dựng dựa trên các công cụ do các nhà nghiên cứu bảo mật (như Evilginx, Muraena, và Modlishka,…) phát triển.
MitM phishing toolkits đang trở nên phổ biến
Trong một nghiên cứu được công bố vào tháng trước, các nhà nghiên cứu từ Đại học Stony Brook và công ty bảo mật Palo Alto Networks cho biết họ đã phân tích 13 phiên bản MitM phishing toolkits và tìm ra dấu hiệu nhận dạng của những lưu lượng truy cập web khi đi qua một trong những công cụ này. Từ đó, họ đã phát triển một công cụ có tên PHOCA giúp phát hiện xem một trang web lừa đảo có đang sử dụng MitM phishing toolkits hay không.
Công cụ này đã phát hiện ra 1.220 trang web [trong số những trang lừa đảo đã phát hiện từ tháng 3 năm 2020 đến tháng 3 năm 2021] đang sử dụng bộ công cụ lừa đảo MitM.
Đây là con số đáng kể so với khoảng 200 trang web lừa đảo sử dụng reverse proxy hoạt động vào cuối năm 2018 và đầu năm 2019, theo số liệu thống kê được cung cấp vào thời điểm đó.
Sự gia tăng này cho thấy những công cụ này và bộ công cụ lừa đảo MitM nói chung, đã dần trở nên phổ biến trong giới tội phạm mạng.
Chi tiết về nghiên cứu đã được các nhà nghiên cứu trình bày tại hội nghị bảo mật ACM CCS 2021 vào tháng trước. Để biết thêm thông tin, bạn có thể xem video hoặc tải xuống bản PDF.
Nguồn: The Record.
Tín nhiệm mạng | Tin tặc tấn công “credential stuffing” vào người dùng LastPass nhằm giành quyền truy cập vào kho lưu trữ mật khẩu trên đám mây của họ.
Tín nhiệm mạng | ReasonLabs đã phát hiện ra một phần mềm độc hại mới xâm nhập vào máy tính của nạn nhân được ngụy trang dưới dạng phiên bản mới nhất của bộ phim Spiderman.
Tín nhiệm mạng | Công cụ tìm kiếm bảo vệ quyền riêng tư DuckDuckGo tiếp tục phát triển nhanh chóng, với trung bình hơn 100 triệu truy vấn tìm kiếm hàng ngày.
Tín nhiệm mạng | Microsoft cho biết họ sẽ không khắc phục hoặc phát hành các bản vá cho ba trong số bốn lỗ hổng bảo mật được phát hiện trong nền tảng giao tiếp Teams của họ vào đầu tháng 3 này.
Tín nhiệm mạng | Trung Quốc đã tạm dừng hợp tác với Alibaba Cloud trong sáu tháng vì không thông báo kịp thời cho chính phủ về lỗ hổng bảo mật nghiêm trọng trong thư viện Log4j
Tín nhiệm mạng |Một chiến dịch lừa đảo mới nhằm phát tán mã độc Formbook đã sử dụng một khai thác mới để vượt qua bản cập nhật bảo mật cho lỗ hổng thực thi mã từ xa ảnh hưởng đến thành phần MSHTML của Microsoft.