Az adathalász támadások ma már hihetetlenül gyakoriak. A kiberbűnözésnek ez a módszere nagyon hatékony lehet az adatlopásban, és alapszinten nem igényel hatalmas mennyiségű munkát. De az adathalászat is számos formában jelentkezik, amelyek közül az egyik a középső ellenfél támadása. Tehát mik azok az Adversary-in-the-Middle adathalász támadások? És hogyan kerülheti el őket?
Mik azok a középső ellenséges támadások?
Az Adversary-in-the-Middle (AiTM) adathalász támadás során munkamenet-cookie-kat lopnak el személyes adatok ellopása és a hitelesítési rétegek megkerülése érdekében.
Valószínűleg hallottál már a cookie-król. Manapság a legtöbb webhely, amelyre rákattint, engedélyt fog kérni a cookie-k használatához, hogy jobban személyre szabhassa online élményét. Röviden: a cookie-k nyomon követik online tevékenységét, hogy megértsék szokásait. Ezek kis szöveges adatfájlok, amelyek minden alkalommal elküldhetők a szerverére, amikor egy új weboldalra kattint, így bizonyos feleknek lehetőségük nyílik figyelni az Ön tevékenységét.
Sokféle süti létezik. Vannak, akik szükségesek, mások pedig egyszerűen nem. Az AiTM támadások a munkamenet sütikkel kapcsolatosak. Ezek olyan cookie-k, amelyek ideiglenesen tárolják a felhasználói adatokat egy webes munkamenet során. Ezek a cookie-k azonnal elvesznek, amint leállítja a böngészőt.
Mint mindig az adathalászat esetében, az AiTM adathalász támadások azzal kezdődnek, hogy a kiberbűnöző kommunikál a célponttal, általában e-mailben. Ezek a csalások rosszindulatú webhelyeket is felhasználnak adatok ellopására.
Az AiTM támadások különösen sürgető problémát jelentettek a Microsoft 365 felhasználók számára, mivel a támadók kapcsolatba léptek a célpontokkal, és arra kérték őket, hogy jelentkezzenek be 365-ös fiókjukba. A rosszindulatú szereplő ebben a csalásban hivatalos Microsoft-címnek adja ki magát, ami szintén jellemző az adathalász támadásokra.
Itt nem csak a bejelentkezési adatok ellopása a cél, hanem az áldozat többtényezős hitelesítésének (MFA) ill. kétfaktoros hitelesítés (2FA) réteg. Ezek olyan biztonsági funkciók, amelyek segítségével ellenőrizhető a fiókba való bejelentkezés úgy, hogy engedélyt kér egy külön eszközről vagy fiókról, például okostelefonjáról vagy e-mailjéről.
A kiberbûnözõ proxyszervert is használ majd a Microsofttal való kommunikációhoz és a hamis 365 bejelentkezési oldal üzemeltetõjéhez. Ez a proxy lehetővé teszi a támadó számára, hogy ellopja a munkamenet cookie-ját és az áldozat bejelentkezési adatait. Amikor az áldozat megadja bejelentkezési adatait a rosszindulatú webhelyre, akkor ellopja a munkamenet cookie-ját, hogy hamis hitelesítést biztosítson. Ez lehetővé teszi a támadó számára, hogy megkerülje az áldozat 2FA vagy MFA kérését, így közvetlen hozzáférést biztosít a fiókjához.
Hogyan védekezzünk az AiTM adathalász támadásai ellen
Bár az AiTM adathalász támadás különbözik a tipikus adathalász támadástól, továbbra is ugyanazokat a gyakorlatokat alkalmazhatja az előbbi elkerülésére, mint az utóbbit. Ez az e-mailekben található linkekkel kezdődik.
Ha egy állítólagos megbízható feladótól kap egy e-mailt, amelyben kijelenti, hogy a megadott link segítségével bejelentkezhet valamelyik online fiókjába, legyen óvatos. Ez egy klasszikus adathalász trükk, és aggasztóan könnyen kihagyható, különösen akkor, ha a támadó meggyőző vagy sürgető nyelvezetet használ, hogy meggyőzze Önt, hogy mielőbb jelentkezzen be egy fiókba.
Tehát, ha olyan e-mailt kap, amely bármilyen hivatkozást tartalmaz, feltétlenül futtassa le a linkellenőrző weboldal mielőtt kattintasz. Ezen felül, ha az e-mail azt írja, hogy be kell jelentkeznie egy fiókba, egyszerűen keresse meg a bejelentkezési oldalt a böngészőjében, és ott nyissa meg fiókját. Így láthatja, hogy van-e olyan probléma, amelyet meg kell oldania a fiókjában, anélkül, hogy bármilyen hivatkozásra kattintana.
Ezenkívül kerülje az ismeretlen címről küldött mellékletek megnyitását, még akkor sem, ha a feladó azt állítja, hogy megbízható személy. A rosszindulatú mellékletek az AiTM adathalász támadásaiban is használhatók, ezért óvatosnak kell lennie azzal, hogy mit nyit meg.
Röviden: ha nincs igazán szükség a melléklet megnyitására, hagyja békén.
Ha viszont úgy gondolja, hogy meg kell nyitnia a mellékletet, futtasson néhány gyors ellenőrzést, mielőtt megtenné. Vessen egy pillantást a melléklet fájltípusára, hogy eldöntse, gyanúsnak kell-e tekintenie. Például ismert, hogy a .pdf, .doc, zip és .xls fájlokat rosszindulatú mellékletekben használják, ezért legyen óvatos, ha egy adott melléklet e fájltípusok egyike.
Ezen felül ellenőrizze az e-mail szövegkörnyezetét. Ha a feladó azt állítja, hogy a melléklet tartalmaz egy dokumentumot, például bankszámlakivonatot, de a fájl kiterjesztése .mp3, valószínűleg megtévesztő és potenciálisan veszélyes melléklettel van dolgod, mivel az MP3 fájlt nem használnák dokumentum.
Nézze meg a kapott gyanús e-mailek feladójának címét. Természetesen minden e-mail cím egyedi, így a támadók nem használhatnak hivatalos vállalati e-mail címet az Önnel való kommunikációhoz, hacsak nem feltörték. Adathalászat esetén a csalók gyakran olyan e-mail címeket használnak, amelyek valamelyest hasonlítanak egy szervezet hivatalos címére.
Ha például kap egy e-mailt valakitől, aki a Microsoftot követeli, de észreveszi, hogy a címben a "Microsoft" helyett a "micr0s0ft" szerepel, akkor adathalász csalással van dolgod. A bűnözők egy további betűt vagy számot is hozzáadnak egy e-mail-címhez, hogy az nagyon hasonlítson, de nem azonos a jogos címmel.
Még azt is meghatározhatja, hogy egy link gyanús-e, ha megnézi. A rosszindulatú webhelyek gyakran szokatlannak tűnő hivatkozásokat tartalmaznak. Például, ha egy e-mail azt állítja, hogy a megadott link egy Microsoft bejelentkezési oldalra küldi Önt, de az URL azt mondja, hogy ez egy teljesen más webhely, akkor kerülje el a figyelmét. A webhely domainjének ellenőrzése különösen hasznos lehet az adathalászat elkerülésében.
Végül, ha egy állítólagos hivatalos forrásból származó e-mailt kap, amely tele van helyesírási és nyelvtani hibákkal, akkor valószínűleg csalóval áll szemben. A hivatalos cégek gyakran gondoskodnak arról, hogy e-mailjeik helyesen legyenek megírva, míg a kiberbűnözők néha hanyagul kommunikálnak. Tehát, ha egy kapott e-mail nagyon lustán van megírva, legyen óvatos a továbblépéssel.
Legyen résen, hogy elkerülje az AiTM adathalász támadásait
Az adathalászat rendkívül elterjedt, és magánszemélyek és szervezetek megcélzására is szolgál, vagyis senki sincs igazán biztonságban ettől a fenyegetéstől. Tehát az AiTM adathalász támadások és általában az adathalászat elkerülése érdekében vegye figyelembe a fenti tippeket az adatok biztonságának megőrzése érdekében.