Новый уровень угрозы: взлом двухфакторной аутентификации стал проще
Хакеры нашли способ обойти защиту двухфакторной аутентификации благодаря новому инструменту под названием Starkiller. Этот инструмент кардинально меняет подходы к краже учетных записей пользователей, делая традиционные методы защиты неэффективными.
Как работает новая схема?
Starkiller представляет собой продвинутую систему фишинга, основанную на трансляции реальных веб-сайтов через инфраструктуру злоумышленников. Вместо создания фальшивых страниц входа преступники отображают настоящие страницы брендов, позволяя пользователям вводить свои данные непосредственно на оригинальных сайтах. Однако весь трафик проходит через серверы преступников, обеспечивая им доступ к конфиденциальной информации, включая одноразовые коды подтверждения.
Основные компоненты системы:
- Запуск браузера: Используется браузер Chrome в специальном режиме внутри контейнеров Docker.
- Подмена трафика: Вся информация передается через сервера злоумышленников, выступая в качестве обратного прокси.
- Реальное взаимодействие: Пользователь взаимодействует с настоящими сайтами, отправляя одноразовые коды прямо на легитимные сервисы.
Особенности инструмента:
Разработанный группой Jinkusu, этот инструмент предлагается как коммерческое решение по модели Software-as-a-Service (SaaS). Преступники подчеркивают высокую успешность атак и постоянно совершенствуют продукт, предлагая дополнительные функции:
- Мониторинг активных сессий: операторы видят текущие сессии жертв в реальном времени.
- Интеграция с мессенджерами: получение уведомлений через Telegram.
- Геолокационные данные: отслеживание местоположения устройства жертвы.
- Сбор финансовой информации: сбор банковских данных, номеров кредитных карт и криптовалютных кошельков.
- Обман ссылок: использование сокращателей URL и символа "@" для сокрытия настоящих адресов.
Почему это опасно?
Традиционные методы обнаружения мошенничества становятся бесполезными против таких схем, поскольку отсутствует поддельный HTML-код. Защитные механизмы вынуждены переключаться на анализ поведения пользователей, выявляя необычные паттерны активности, повторное использование сессионных токенов и подозрительные географические точки доступа.
Для борьбы с такими угрозами эксперты рекомендуют усилить мониторинг поведения пользователей и внедрять более сложные алгоритмы выявления аномалий. Электронная почта требует глубокого анализа содержимого писем, а не только ссылок внутри них
