Фишинговые атаки сейчас невероятно распространены. Этот метод киберпреступления может быть очень эффективным при краже данных и не требует огромного объема работы на базовом уровне. Но фишинг также существует во многих формах, одна из которых — атаки «Противник посередине». Итак, что такое фишинговые атаки типа «Противник посередине»? И как вы можете избежать их?
Что такое атаки противника посередине?
Фишинговая атака Adversary-in-the-Middle (AiTM) включает в себя кражу файлов cookie сеанса для кражи личных данных и даже для обхода уровней аутентификации.
Вы, вероятно, слышали о файлах cookie раньше. Сегодня большинство сайтов, на которые вы нажимаете, будут запрашивать ваше разрешение на использование файлов cookie, чтобы более точно адаптировать ваш опыт работы в Интернете. Короче говоря, файлы cookie отслеживают вашу активность в Интернете, чтобы понять ваши привычки. Это небольшие текстовые файлы данных, которые могут отправляться на ваш сервер каждый раз, когда вы нажимаете на новую веб-страницу, что дает определенным сторонам возможность отслеживать вашу активность.
Существует много видов печенья. Что-то нужно, а что-то просто нет. Атаки AiTM связаны с сеансовыми файлами cookie. Это файлы cookie, которые временно сохраняют пользовательские данные во время веб-сеанса. Эти файлы cookie немедленно теряются после закрытия браузера.
Как всегда в случае с фишингом, фишинговая атака AiTM начинается с того, что киберпреступник общается с целью, обычно по электронной почте. Эти мошенники также используют вредоносные веб-сайты для кражи данных.
Атаки AiTM были особенно острой проблемой для пользователей Microsoft 365, когда злоумышленники связывались с целями и просили их войти в свои учетные записи 365. В этой афере злоумышленник будет выдавать себя за официальный адрес Microsoft, что также характерно для фишинговых атак.
Цель здесь не просто украсть данные для входа, а обойти многофакторную аутентификацию жертвы (MFA) или двухфакторная аутентификация (2FA) слой. Это функции безопасности, используемые для проверки входа в учетную запись путем запроса разрешения с отдельного устройства или учетной записи, например вашего смартфона или электронной почты.
Киберпреступник также будет использовать прокси-сервер для связи с Microsoft и размещения фальшивой страницы входа в систему 365. Этот прокси позволяет злоумышленнику украсть файл cookie сеанса и информацию для входа в систему жертвы. Когда жертва вводит свои данные для входа на вредоносный сайт, он затем украдет файл cookie сеанса, чтобы обеспечить ложную аутентификацию. Это дает злоумышленнику возможность обойти запрос жертвы 2FA или MFA, предоставив им прямой доступ к своей учетной записи.
Как защититься от фишинговых атак AiTM
Хотя фишинговая атака AiTM отличается от типичной фишинговой атаки, вы все равно можете использовать те же методы, чтобы избежать первой и второй. Это начинается с любых ссылок, предоставленных в ваших электронных письмах.
Если вы получили электронное письмо от предположительно доверенного отправителя, в котором говорится, что вам нужно использовать предоставленную ссылку для входа в одну из ваших учетных записей в Интернете, будьте осторожны. Это классический прием фишинга, и его очень легко пропустить, особенно если злоумышленник использует убедительные или срочные формулировки, чтобы убедить вас войти в учетную запись как можно скорее.
Итак, если вы получили электронное письмо, содержащее какую-либо ссылку, убедитесь, что вы пропустили его через сайт проверки ссылок прежде чем щелкнуть. Кроме того, если в электронном письме указано, что вам необходимо войти в учетную запись, просто найдите страницу входа в своем браузере и получите там доступ к своей учетной записи. Таким образом, вы можете увидеть, есть ли какие-либо проблемы, которые вам нужно решить в вашей учетной записи, не нажимая на какую-либо предоставленную ссылку.
Вам также следует избегать открытия любых вложений, отправленных вам с незнакомого адреса, даже если отправитель утверждает, что является доверенным лицом. Вредоносные вложения также могут использоваться в фишинговых атаках AiTM, поэтому вам нужно с осторожностью относиться к тому, что вы открываете.
Короче говоря, если нет реальной необходимости открывать вложение, оставьте его в покое.
Если, с другой стороны, вы считаете, что вам нужно открыть вложение, перед этим выполните несколько быстрых проверок. Вы должны взглянуть на тип файла вложения, чтобы определить, следует ли считать его подозрительным. Например, известно, что файлы .pdf, .doc, zip и .xls используются во вредоносных вложениях, поэтому будьте осторожны, если данное вложение относится к одному из этих типов файлов.
Кроме того, проверьте контекст письма. Если отправитель утверждает, что вложение содержит документ, например выписку из банка, но файл имеет расширение .mp3, вы, вероятно, имеете дело с вводящим в заблуждение и потенциально опасным вложением, так как файл MP3 не будет использоваться для документ.
Посмотрите на адрес отправителя любого подозрительного электронного письма, которое вы получаете. Конечно, каждый адрес электронной почты уникален, поэтому злоумышленник не может использовать официальный адрес электронной почты компании для связи с вами, если он не был взломан. В случае фишинга мошенники часто используют адреса электронной почты, которые чем-то похожи на официальный адрес организации.
Например, если вы получили электронное письмо от кого-то, утверждающего, что Microsoft, но вы заметили, что адрес читается как «micr0s0ft» вместо «Microsoft», вы имеете дело с фишингом. Преступники также добавляют дополнительную букву или цифру к адресу электронной почты, чтобы он выглядел очень похожим, но не идентичным законному адресу.
Вы даже можете определить, является ли ссылка подозрительной, взглянув на нее. Вредоносные сайты часто имеют ссылки, которые выглядят необычно. Например, если в электронном письме указано, что предоставленная ссылка перенаправит вас на страницу входа в Microsoft, но в URL-адресе указано, что это совершенно другой веб-сайт, держитесь подальше. Проверка домена веб-сайта может быть особенно полезна для предотвращения фишинга.
Наконец, если вы получаете электронное письмо от якобы официального источника, изобилующее орфографическими и грамматическими ошибками, скорее всего, вы имеете дело с мошенником. Официальные компании часто следят за тем, чтобы их электронные письма были написаны правильно, тогда как киберпреступники иногда могут быть небрежны в своих сообщениях. Итак, если полученное вами электронное письмо написано очень лениво, будьте осторожны в своих действиях.
Будьте начеку, чтобы избежать фишинговых атак AiTM
Фишинг чрезвычайно распространен и используется как для отдельных лиц, так и для организаций, а это означает, что никто не застрахован от этой угрозы. Итак, чтобы избежать фишинговых атак AiTM и фишинга в целом, примите во внимание приведенные выше советы по обеспечению безопасности ваших данных.
