Новая вариация мошеннической схемы ClickFix пытается обойти средства защиты от фишинга, перехватывая токен аутентификации OAuth сотрудника для входа в Microsoft.
Исследователи из Push Security на этой неделе описали эту тактику, которую они назвали ConsentFix, в своем блоге, назвав ее «опасной эволюцией ClickFix и фишинга согласий, которую чрезвычайно трудно обнаружить и заблокировать традиционными инструментами безопасности».
Как правило, атаки ClickFix демонстрируют пользователю поддельное сообщение об ошибке или фальшивую проверку CAPTCHA, чтобы заставить его скопировать, вставить и выполнить вредоносные команды на своих устройствах.
Новизна атаки ConsentFix заключается в том, что она происходит полностью внутри браузера, как говорят исследователи, что устраняет одну из ключевых возможностей обнаружения, поскольку атака не затрагивает конечную точку.
Атака начинается с того, что жертва находит в поиске Google легитимный, но скомпрометированный веб-сайт, что полностью обходит средства защиты от фишинга по электронной почте. Посещение сайта запускает поддельную страницу проверки, похожую на CAPTCHA Cloudflare, с просьбой к жертве ввести свой рабочий адрес электронной почты, чтобы доказать, что она человек. Это вызывает появление страницы входа в Microsoft, содержащей легитимный URL-адрес, основанный на адресе электронной почты жертвы, который будет содержать токен OAuth. Жертву просят скопировать и вставить этот URL в поле, опять же, чтобы подтвердить, что она человек. Исследователи сообщают, что URL перехватывается злоумышленником, после чего жертва предоставляет атакующему доступ к своей учетной записи Microsoft через интерфейс командной строки Azure.
«На этом этапе злоумышленник получает эффективный контроль над учетной записью Microsoft жертвы, но без необходимости фишинга пароля или прохождения проверки многофакторной аутентификации (MFA)», — заявляют в Push Security. «Фактически, если пользователь уже был вошел в свою учетную запись Microsoft (т. е. у него была активная сессия), вход вообще не требуется».
Кристофер Кайзер, эксперт по социальной инженерии и президент канадской фирмы Cybercrime Analytics, говорит, что атака использует два излюбленных злоумышленниками тактики: послушание (скопируй и вставь этот URL) и доверие (это похоже на страницу входа Microsoft). «Люди думают, что поскольку они находятся на доверенной [Microsoft] платформе, это нормально», — сказал он в интервью.
Но эта атака также демонстрирует провалы в обучении осведомленности о безопасности, которое проводят многие организации. Если обучение эффективно, сотрудники должны подозревать, что что-то не так, когда приложение запрашивает рабочий адрес электронной почты для подтверждения того, что они являются людьми, сказал он, и знать, что подозрительно, когда их просят скопировать и вставить что-либо в Интернете в качестве способа доказать, что они люди.
«Это невероятно новый, инновационный метод атаки», — прокомментировал Роджер Граймс, консультант по обороне на основе данных в KnowBe4. «Его почти несправедливо классифицировать как подвариант Clickfix, хотя это так». Однако вероятность того, что сотрудник скопирует длинную строку URL в качестве проверки своей человечности, должна быть очень, очень мала, добавил он. «Это кричит о чем-то странном и мошенническом даже самому неопытному пользователю. Вы можете представить, чтобы ваши бабушка и дедушка делали это? Я — нет. Но я уверен, что некоторые люди это делают, иначе мошенники бы не пытались», — сказал он.
«Я предполагаю, что его коэффициент успеха настолько низок, что он не станет популярным методом мошенничества, о котором большинству из нас нужно беспокоиться», — сказал он. «Нам действительно нужно сообщить пользователям, как часто бренд Cloudflare используется в мошеннических схемах, и как выглядит правильная аутентификация/проверка Cloudflare. Проверка CAPTCHA Cloudflare стала поддельным экраном антивируса в современном мире».
Организации должны признать, что атака ConsentFix подчеркивает опасность неявного доверия к приложениям первой стороны и продолжающегося использования устаревших OAuth-областей, сказала Авива Литан, ведущий аналитик по доверию, рискам и управлению безопасностью ИИ в Gartner. К ним относятся более старые наборы разрешений в Microsoft Entra ID, которые предоставляют широкий доступ и не подпадают под действие современных средств контроля безопасности или мониторинга.
«Злоумышленники используют эти устаревшие области для перечисления данных каталога, то есть они могут систематически извлекать и картировать учетные записи пользователей, группы и другие объекты каталога в организации», — сказала она. «Эта разведка позволяет злоумышленникам выявлять ценные цели и планировать дальнейшие атаки, и все это без срабатывания оповещений, которые были бы связаны с более новыми, более строго контролируемыми разрешениями».
Наиболее эффективной стратегией смягчения последствий такого рода атак является сочетание надежного мониторинга, усиленного управления согласиями и защиты пользователей в режиме реального времени, отметила Литан. «Решая эти фундаментальные проблемы — в частности, ограничивая использование устаревших OAuth-областей, ужесточая процессы согласия для всех приложений и внедряя средства безопасности на основе браузера — предприятия могут существенно снизить риск несанкционированного доступа в результате злоупотребления OAuth-согласиями и улучшить свою общую позицию в области безопасности идентификации».
Push Security отмечает, что атака может быть успешной, поскольку нацеливание на приложение первой стороны, такое как Azure CLI, означает, что многие из доступных средств смягчения последствий для интеграции сторонних приложений не применимы. Поскольку вход не требуется, средства аутентификации, устойчивые к фишингу, такие как парольные ключи, не оказывают влияния на эту атаку, добавляют исследователи. И использование передовых методов уклонения от обнаружения затрудняет расследование этой атаки, что означает, что эти атаки остаются необнаруженными.
Одна из проблем заключается в том, что большинство тренингов по осведомленности о безопасности недостаточно снижают вероятность того, что сотрудники попадутся на фишинговые мошенничества, сказал Кайзер.
Он процитировал исследование фишинговых сообщений, отправленных сотрудникам калифорнийской больницы в течение восьми месяцев. Те, кто прошел курс повышения осведомленности о кибербезопасности, с такой же вероятностью попались на фишинговое сообщение, как и те, кто этого не делал, сказал он.
Обучение часто терпит неудачу, потому что инструкторы слишком много говорят техническими терминами, сказал он. Вместо этого им следует объяснять атаки, как они работают и как их распознать.
«Если вы можете объяснить людям, что происходит, это запомнится», — настаивал он.
Автор – Howard Solomon
