Οι επιθέσεις phishing είναι πλέον απίστευτα συνηθισμένες. Αυτή η μέθοδος εγκλήματος στον κυβερνοχώρο μπορεί να είναι πολύ αποτελεσματική στην κλοπή δεδομένων και δεν απαιτεί τεράστιο όγκο εργασίας σε βασικό επίπεδο. Αλλά το phishing έρχεται επίσης σε πολλές μορφές, μία από τις οποίες είναι οι επιθέσεις Adversary-in-the-Middle. Λοιπόν, τι είναι οι επιθέσεις phishing Adversary-in-the-Middle; Και πώς μπορείτε να απομακρυνθείτε από αυτά;
Τι είναι οι επιθέσεις Adversary-in-the-Middle;
Μια επίθεση phishing Adversary-in-the-Middle (AiTM) περιλαμβάνει την κλοπή cookie περιόδου λειτουργίας για την κλοπή ιδιωτικών δεδομένων και ακόμη και την παράκαμψη των επιπέδων ελέγχου ταυτότητας.
Πιθανότατα έχετε ξανακούσει για cookies. Σήμερα, οι περισσότεροι ιστότοποι στους οποίους κάνετε κλικ θα ζητήσουν την άδειά σας να χρησιμοποιήσουν cookies για να προσαρμόσουν καλύτερα την εμπειρία σας στο διαδίκτυο. Με λίγα λόγια, τα cookies παρακολουθούν τη διαδικτυακή σας δραστηριότητα για να κατανοήσουν τις συνήθειές σας. Είναι μικρά αρχεία κειμένου δεδομένων που μπορούν να αποσταλούν στον διακομιστή σας κάθε φορά που κάνετε κλικ σε μια νέα ιστοσελίδα, γεγονός που δίνει επομένως σε ορισμένα μέρη τη δυνατότητα να παρακολουθούν τη δραστηριότητά σας.
Υπάρχουν πολλά είδη μπισκότων εκεί έξω. Κάποια είναι απαραίτητα και κάποια απλά δεν είναι. Οι επιθέσεις AiTM αφορούν cookies περιόδου λειτουργίας. Πρόκειται για cookies που αποθηκεύουν προσωρινά δεδομένα χρήστη κατά τη διάρκεια μιας περιόδου σύνδεσης ιστού. Αυτά τα cookies χάνονται αμέσως μόλις κλείσετε το πρόγραμμα περιήγησής σας.
Όπως συμβαίνει πάντα με το phishing, μια επίθεση phishing AiTM ξεκινά με την επικοινωνία του κυβερνοεγκληματία με τον στόχο, συνήθως μέσω email. Αυτές οι απάτες χρησιμοποιούν επίσης κακόβουλους ιστότοπους για την κλοπή δεδομένων.
Οι επιθέσεις AiTM ήταν ένα ιδιαίτερα πιεστικό ζήτημα για τους χρήστες του Microsoft 365, με τους εισβολείς να έρχονται σε επαφή με στόχους και να τους ζητούν να συνδεθούν στους λογαριασμούς τους 365. Ο κακόβουλος ηθοποιός θα υποδυθεί μια επίσημη διεύθυνση της Microsoft σε αυτήν την απάτη, η οποία είναι επίσης τυπική στις επιθέσεις phishing.
Ο στόχος εδώ δεν είναι απλώς η κλοπή των πληροφοριών σύνδεσης, αλλά η παράκαμψη του ελέγχου ταυτότητας πολλαπλών παραγόντων του θύματος (MFA) ή έλεγχος ταυτότητας δύο παραγόντων (2FA) στρώμα. Αυτές είναι λειτουργίες ασφαλείας που χρησιμοποιούνται για την επαλήθευση μιας σύνδεσης λογαριασμού ζητώντας άδεια από μια ξεχωριστή συσκευή ή λογαριασμό, όπως το smartphone ή το email σας.
Ο κυβερνοεγκληματίας θα χρησιμοποιήσει επίσης έναν διακομιστή μεσολάβησης για να επικοινωνήσει με τη Microsoft και να φιλοξενήσει την ψεύτικη σελίδα σύνδεσης 365. Αυτός ο διακομιστής μεσολάβησης επιτρέπει στον εισβολέα να κλέψει το cookie περιόδου λειτουργίας και τις πληροφορίες σύνδεσης του θύματος. Όταν το θύμα εισάγει τα στοιχεία σύνδεσής του στον κακόβουλο ιστότοπο, στη συνέχεια θα κλέψει το cookie περιόδου λειτουργίας για να παρέχει ψευδή έλεγχο ταυτότητας. Αυτό δίνει στον εισβολέα τη δυνατότητα να παρακάμψει το αίτημα 2FA ή MFA του θύματος, δίνοντάς του άμεση πρόσβαση στον λογαριασμό του.
Πώς να προστατευτείτε από επιθέσεις phishing AiTM
Ενώ μια επίθεση phishing AiTM διαφέρει από μια τυπική επίθεση phishing, μπορείτε να χρησιμοποιήσετε τις ίδιες πρακτικές για να αποφύγετε την πρώτη όπως θα κάνατε με τη δεύτερη. Αυτό ξεκινά με τυχόν συνδέσμους που παρέχονται στα email σας.
Εάν λάβετε ένα email από έναν φερόμενο ως αξιόπιστο αποστολέα που δηλώνει ότι πρέπει να χρησιμοποιήσετε τον παρεχόμενο σύνδεσμο για να συνδεθείτε σε έναν από τους διαδικτυακούς σας λογαριασμούς, να είστε προσεκτικοί. Αυτό είναι ένα κλασικό κόλπο phishing και μπορεί να είναι ανησυχητικά εύκολο να το χάσετε, ειδικά εάν ο εισβολέας χρησιμοποιεί πειστική ή επείγουσα γλώσσα για να σας πείσει να συνδεθείτε σε έναν λογαριασμό το συντομότερο δυνατό.
Επομένως, εάν λάβετε ένα email που περιλαμβάνει οποιοδήποτε είδος συνδέσμου, φροντίστε να το εκτελέσετε μέσω ενός ιστότοπος ελέγχου συνδέσμων πριν κάνετε κλικ. Επιπλέον, εάν το email αναφέρει ότι πρέπει να συνδεθείτε σε έναν λογαριασμό, απλώς αναζητήστε τη σελίδα σύνδεσης στο πρόγραμμα περιήγησής σας και αποκτήστε πρόσβαση στον λογαριασμό σας εκεί. Με αυτόν τον τρόπο, μπορείτε να δείτε εάν υπάρχουν προβλήματα που πρέπει να επιλύσετε στον λογαριασμό σας χωρίς να κάνετε κλικ σε οποιοδήποτε είδος παρεχόμενου συνδέσμου.
Θα πρέπει επίσης να αποφύγετε το άνοιγμα τυχόν συνημμένων που σας αποστέλλονται από άγνωστη διεύθυνση, ακόμα κι αν ο αποστολέας ισχυρίζεται ότι είναι αξιόπιστο άτομο. Τα κακόβουλα συνημμένα μπορούν επίσης να χρησιμοποιηθούν σε επιθέσεις phishing AiTM, επομένως πρέπει να είστε προσεκτικοί με αυτά που ανοίγετε.
Εν ολίγοις, εάν δεν υπάρχει πραγματική ανάγκη να ανοίξετε το συνημμένο, αφήστε το ήσυχο.
Εάν, από την άλλη πλευρά, πιστεύετε ότι πρέπει να ανοίξετε το συνημμένο, εκτελέστε μερικούς γρήγορους ελέγχους πριν το κάνετε. Θα πρέπει να ρίξετε μια ματιά στον τύπο αρχείου του συνημμένου για να προσδιορίσετε εάν πρέπει να θεωρηθεί ύποπτο. Για παράδειγμα, τα αρχεία .pdf, .doc, zip και .xls είναι γνωστό ότι χρησιμοποιούνται σε κακόβουλα συνημμένα, επομένως να είστε προσεκτικοί εάν ένα δεδομένο συνημμένο είναι ένας από αυτούς τους τύπους αρχείων.
Επιπλέον, ελέγξτε το πλαίσιο του μηνύματος ηλεκτρονικού ταχυδρομείου. Εάν ο αποστολέας ισχυριστεί ότι το συνημμένο περιέχει ένα έγγραφο, όπως αντίγραφο κίνησης τραπεζικού λογαριασμού, αλλά το αρχείο έχει επέκταση .mp3, πιθανότατα αντιμετωπίζετε ένα παραπλανητικό και δυνητικά επικίνδυνο συνημμένο, καθώς ένα αρχείο MP3 δεν θα χρησιμοποιηθεί για έγγραφο.
Δείτε τη διεύθυνση αποστολέα κάθε ύποπτου email που λαμβάνετε. Φυσικά, κάθε διεύθυνση ηλεκτρονικού ταχυδρομείου είναι μοναδική, επομένως ένας εισβολέας δεν μπορεί να χρησιμοποιήσει μια επίσημη διεύθυνση ηλεκτρονικού ταχυδρομείου της εταιρείας για να επικοινωνήσει μαζί σας, εκτός εάν έχει παραβιαστεί. Στην περίπτωση του phishing, οι απατεώνες χρησιμοποιούν συχνά διευθύνσεις email που μοιάζουν κάπως με την επίσημη διεύθυνση ενός οργανισμού.
Για παράδειγμα, εάν λάβετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου από κάποιον που ισχυρίζεται τη Microsoft, αλλά παρατηρήσετε ότι η διεύθυνση γράφει "micr0s0ft" αντί για "Microsoft", αντιμετωπίζετε μια απάτη ηλεκτρονικού "ψαρέματος" (phishing). Οι εγκληματίες θα προσθέσουν επίσης ένα επιπλέον γράμμα ή αριθμό σε μια διεύθυνση email, ώστε να μοιάζει πολύ, αλλά όχι πανομοιότυπο, με τη νόμιμη διεύθυνση.
Μπορείτε ακόμη και να διαπιστώσετε εάν ένας σύνδεσμος είναι ύποπτος κοιτάζοντάς τον. Οι κακόβουλοι ιστότοποι θα έχουν συχνά συνδέσμους που φαίνονται ασυνήθιστοι. Για παράδειγμα, εάν ένα μήνυμα ηλεκτρονικού ταχυδρομείου αναφέρει ότι ο παρεχόμενος σύνδεσμος θα σας στείλει σε μια σελίδα σύνδεσης της Microsoft, αλλά η διεύθυνση URL αναφέρει ότι πρόκειται για έναν εντελώς διαφορετικό ιστότοπο, αποφύγετε. Ο έλεγχος του τομέα του ιστότοπου μπορεί να είναι ιδιαίτερα χρήσιμος για την αποφυγή phishing.
Τέλος, αν λάβετε ένα email από μια υποτιθέμενη επίσημη πηγή που είναι γεμάτη με ορθογραφικά και γραμματικά λάθη, πιθανότατα έχετε να κάνετε με έναν απατεώνα. Οι επίσημες εταιρείες συχνά διασφαλίζουν ότι τα email τους είναι γραμμένα σωστά, ενώ οι εγκληματίες στον κυβερνοχώρο μπορεί μερικές φορές να είναι απρόσεκτοι με τις επικοινωνίες τους. Επομένως, εάν ένα email που λάβατε είναι γραμμένο πολύ νωχελικά, να είστε προσεκτικοί με το πώς θα προχωρήσετε.
Να είστε σε επιφυλακή για να αποφύγετε τις επιθέσεις ψαρέματος AiTM
Το ηλεκτρονικό ψάρεμα είναι εξαιρετικά διαδεδομένο και χρησιμοποιείται για να στοχεύσει τόσο άτομα όσο και οργανισμούς, πράγμα που σημαίνει ότι κανείς δεν είναι πραγματικά ασφαλής από αυτήν την απειλή. Έτσι, για να αποφύγετε τις επιθέσεις phishing AiTM και το phishing γενικά, λάβετε υπόψη τις συμβουλές που παρέχονται παραπάνω για να διατηρήσετε τα δεδομένα σας ασφαλή.
