Архитектът по киберсигурност и ловец на бъгове Крег Хейс попада на опит за обикновена фишинг атака, която обаче, в последствие се оказва много по-напредничава от стандартните тактики за компрометиране на дадена мрежа. Дори, по негови думи, това е “най-великата кражба на пароли”, която е виждал.

В своя блог в Medium, Хейс описва, че в неговата организация са получили сигнал за атака. На пръв поглед – всичко е точно. Поредният ден на работа за екипа по сигурност, който веднага изолира засегнатия акаунт и започва разследване на случилото се – как точно е станало и какви могат да са потенциалните щети. Само след минути обаче, още сигнали за атаки пристигат във входящата поща. Хейс не се учудва и предполага, че просто фишинг атаката е засегнала и други служители. Но след шестия сигнал, security специалистите разбират, че атаката е по-голяма отколкото предполагат. Моментът, в който успяват да направят оценка на щетите и да възстановят два от засегнатите имейла, се оказва, че са изправени пред огромна вълна от поглъщания на служебни акаунти.

“Виждахме как всички акаунти са достъпни от различни странни места по света и се
изпращаше огромно количество имейли. За да бъде направен такъв голям удар наведнъж, то това е наистина ефективна фишинг атака” казва Хейс.

Проблемът е, че начинът на кражба на данни не е очевиден, като нито една от жертвите не е получила имейл от нов контакт през деня – какъвто е традиционният подход. Но след продължителна проверка се оказва, че фишинг имейлите са се изпращали като отговори на истински такива, “обменяни между нашите служители, доставчици, клиенти, вътрешно между колеги и т.н.,” казва Хейс.

След като един имейл акаунт е компрометиран, данните от него биват прехвърлени на бот, който след това се логва и анализира всичко изпратено в последните няколко дни. “За всяка открита от него уникална имейл верига той отговаря на последния имейл с връзка към фишинг страница, за да събере идентификационни данни,” казва Хейс. “Формулировката на написаното в имейла е достатъчно общо, за да се намести във всеки сценарий на разговор, а връзката към документа не изглежда по никакъв начин съмнителна”.

Наистина е сложно да се разграничи бота от истинския собственик на акаунта, тъй като ботът използва “reply-all”, има легитимен акаунт и имейлът му е поставен в контекста на вече протичаща комуникация. Хейс споделя и, че тази техника, успяла да достигне до “феноменално количество профили”, го е оставила в състояние на страхопочитание в продължение на часове. Но и това не е всичко. След целия брой акаунти, то е ясно, че фишинг имейлът е абсолютно неконтролируем и логично, успява да излезе извън комуникацията на организацията, следователно – достига до други компании. Фишинг атаката е извън контрол и единственият начин, по който екипът успява да я възпрепятства, е като открива модел в URL-a на фишинг страниците, позволяващ поставяне под карантина.

Докато Хейс нарича зловредната кампания “гениална” и “най-любимата атака, която съм виждал лично”, той също така отбелязва и един недостатък в бота – прекалено е ефективен и нетърпелив да достигне до целта, поради което бързо настройва червени знамена и сигнали за опасност, което му пречи да достигне пълния си потенциал.

Вследствие на атаката, в организацията е въведено многофакторно удостоверяване за имейл акаунтите без допълнителна мярка за сигурност.

“Целта на този нападател вероятно е да събере идентификационни данни, които да се продават в dark web пространството. Определено целта беше на прав път – събра много информация, но в процеса бе твърде шумен и задейства алармите, което го лиши от цялото предимство, с което разполагаше,” коментира Хейс.