Kibernetinio saugumo bendrovė „Kaspersky“ perspėja apie naują sukčiavimo (angl. phishing) kampaniją, kurioje nusikaltėliai pasitelkia teisėtą „Microsoft“ autentifikavimo infrastruktūrą.
Dėl to įprastas patarimas tikrinti interneto svetainės adresą tampa gerokai mažiau veiksmingas, nes aukos duomenis įveda ne suklastotoje, o tikroje „Microsoft“ svetainėje.
Ataka išnaudoja „Microsoft Identity Platform“ palaikomą „OAuth 2.0 Device Authorization Grant“ mechanizmą, dar vadinamą „Device Code Flow“.
Kaip veikia ši sukčiavimo schema?
„Device Code Flow“ sukurtas tam, kad naudotojai galėtų patogiai prisijungti prie įrenginių, kuriuose sudėtinga įvesti prisijungimo duomenis, pavyzdžiui, išmaniųjų televizorių, spausdintuvų ar kitų daiktų interneto (angl. IoT) įrenginių.
Įprastai naudotojas kitame įrenginyje atidaro „Microsoft“ autentifikavimo puslapį ir įveda vienkartinį kodą, taip patvirtindamas prisijungimą.
Tačiau būtent šį procesą kibernetiniai nusikaltėliai išnaudoja vadinamajai „Device Code Phishing“ atakai. „Kaspersky“ teigia, kad tokią kampaniją stebėjo šių metų balandžio ir gegužės mėnesiais.
Aukos viliojamos tariamais teisiniais dokumentais
Ataka prasideda elektroniniu laišku, kuris atrodo tarsi būtų išsiųstas teisinių paslaugų bendrovės vardu. Prie laiško pridedamas slaptažodžiu apsaugotas PDF dokumentas. Jį atidarius naudotojas pamato nuorodas į tariamus dokumentus, kuriuos esą galima peržiūrėti per paslaugą „LawConnect“.
Paspaudus nuorodą siūloma gauti vienkartinį prieigos kodą dokumentams atidaryti.
Nors užvedus pelės žymeklį matomas tikras „Microsoft“ prisijungimo adresas, nuorodoje naudojami peradresavimo (angl. redirect) parametrai, kurie galiausiai nukreipia naudotoją į sukčių kontroliuojamą puslapį.
Ten aukai pateikiami keli CAPTCHA patikrinimai. Manoma, kad jie naudojami siekiant apsunkinti automatinių saugumo sistemų ir analizės įrankių darbą.
Galiausiai naudotojui nurodoma nukopijuoti pateiktą vienkartinį kodą ir įvesti jį oficialioje „Microsoft“ autentifikavimo formoje.
Taip vartotojas pats suteikia prieigą prie užpuolikų sukurtos programėlės, kuri sugeneravo šį kodą. Kitaip tariant, prisijungimas įvyksta teisėtoje „Microsoft“ svetainėje, tačiau prieiga suteikiama sukčių valdomai programai.
Kaip apsisaugoti?
„Kaspersky“ specialistai ragina būti itin atsargiems gavus netikėtus prašymus įvesti vienkartinius autentifikavimo kodus.
Bendrovė rekomenduoja laikytis kelių pagrindinių taisyklių:
Nevirtinti prisijungimo užklausų, jei patys nepradėjote prisijungimo prie kito įrenginio naudodami „Microsoft Device Authorization Grant“.
- Niekada neįvesti vienkartinių autentifikavimo kodų, gautų netikėtais el. laiškais ar žinutėmis, net jei nuoroda veda į oficialų „Microsoft“ domeną.
- Prieš spustelint nuorodą patikrinti ne tik domeną, bet ir adreso pabaigoje esančius parametrus, tokius kaip redirect_uri, return_url ar next, kurie gali nukreipti į kenkėjišką svetainę.
- Įsitikinti, kad galutinis atsidariusios svetainės adresas iš tiesų atitinka laukiamą puslapį prieš įvedant prisijungimo duomenis.
„Kaspersky“ rekomenduoja įvertinti ir tai, ar jų organizacijoje apskritai reikalinga „Device Code Flow“ funkcija. Jei ji nenaudojama, ją patariama išjungti per „Microsoft Entra ID“ sąlyginės prieigos (angl. Conditional Access) politiką.
Taip pat siūloma stebėti „DeviceCodeSignIn“ įvykius, taikyti griežtesnę įrenginių atitikties kontrolę ir konfigūruoti įspėjimus apie neįprastus prisijungimus, pavyzdžiui, vykstančius iš netikėtų geografinių vietovių.
Ši kampanija rodo, kad šiuolaikiniai sukčiavimo metodai tampa vis sudėtingesni. Net ir naudojant oficialias bei patikimas autentifikavimo sistemas, vien tik domeno patikrinimo nebepakanka – naudotojai turi kritiškai vertinti pačią prisijungimo užklausos priežastį ir niekada netvirtinti veiksmų, kurių patys neinicijavo.







