В своя блог в Medium, Хейс описва, че в неговата организация са получили сигнал за атака. На пръв поглед – всичко е точно. Поредният ден на работа за екипа по сигурност, който веднага изолира засегнатия акаунт и започва разследване на случилото се – как точно е станало и какви могат да са потенциалните щети. Само след минути обаче, още сигнали за атаки пристигат във входящата поща. Хейс не се учудва и предполага, че просто фишинг атаката е засегнала и други служители. Но след шестия сигнал, security специалистите разбират, че атаката е по-голяма отколкото предполагат. Моментът, в който успяват да направят оценка на щетите и да възстановят два от засегнатите имейла, се оказва, че са изправени пред огромна вълна от поглъщания на служебни акаунти.

“Виждахме как всички акаунти са достъпни от различни странни места по света и се
изпращаше огромно количество имейли. За да бъде направен такъв голям удар наведнъж, то това е наистина ефективна фишинг атака” казва Хейс.

Проблемът е, че начинът на кражба на данни не е очевиден, като нито една от жертвите не е получила имейл от нов контакт през деня – какъвто е традиционният подход. Но след продължителна проверка се оказва, че фишинг имейлите са се изпращали като отговори на истински такива, “обменяни между нашите служители, доставчици, клиенти, вътрешно между колеги и т.н.,” казва Хейс.

След като един имейл акаунт е компрометиран, данните от него биват прехвърлени на бот, който след това се логва и анализира всичко изпратено в последните няколко дни. “За всяка открита от него уникална имейл верига той отговаря на последния имейл с връзка към фишинг страница, за да събере идентификационни данни,” казва Хейс. “Формулировката на написаното в имейла е достатъчно общо, за да се намести във всеки сценарий на разговор, а връзката към документа не изглежда по никакъв начин съмнителна”.

Наистина е сложно да се разграничи бота от истинския собственик на акаунта, тъй като ботът използва “reply-all”, има легитимен акаунт и имейлът му е поставен в контекста на вече протичаща комуникация. Хейс споделя и, че тази техника, успяла да достигне до “феноменално количество профили”, го е оставила в състояние на страхопочитание в продължение на часове. Но и това не е всичко. След целия брой акаунти, то е ясно, че фишинг имейлът е абсолютно неконтролируем и логично, успява да излезе извън комуникацията на организацията, следователно – достига до други компании. Фишинг атаката е извън контрол и единственият начин, по който екипът успява да я възпрепятства, е като открива модел в URL-a на фишинг страниците, позволяващ поставяне под карантина.

Докато Хейс нарича зловредната кампания “гениална” и “най-любимата атака, която съм виждал лично”, той също така отбелязва и един недостатък в бота – прекалено е ефективен и нетърпелив да достигне до целта, поради което бързо настройва червени знамена и сигнали за опасност, което му пречи да достигне пълния си потенциал.

Вследствие на атаката, в организацията е въведено многофакторно удостоверяване за имейл акаунтите без допълнителна мярка за сигурност.

“Целта на този нападател вероятно е да събере идентификационни данни, които да се продават в dark web пространството. Определено целта беше на прав път – събра много информация, но в процеса бе твърде шумен и задейства алармите, което го лиши от цялото предимство, с което разполагаше,” коментира Хейс.

Новите инструменти, наречени Password Manager Resources, са отворени днес в GitHub. Apple казва, че новите инструменти са предназначени предимно да помогнат на разработчиците за мениджър на пароли да създадат по-добри приложения.

Apple заяви, че публикува тези инструменти за справяне с дългогодишен проблем с приложенията за управление на пароли, които засягат потребителите във всички операционни системи, а не само в macOS и iOS. Проблемът е, че докато мениджърите на пароли създават уникални и силни пароли, много пъти тези пароли не са съвместими с уеб сайтовете, за които са създадени.

Потребителите, срещащи грешки по време на генериране на произволна парола, често прибягват до избора на своя собствена, която много пъти е по-къса и по-малко сигурна от тази, която обикновено се генерира от приложението за управление на пароли.

Освен това Apple публикува и списък с уеб сайтове, които споделят идентификационни данни за влизане един с друг, списък, за който Apple се надява “да направи предложенията за попълване на парола по-полезни.”

Освен това Apple сподели и списък с URL адреси на уеб сайтове, където потребителите в момента са пренасочени, за да променят паролите си. Apple казва, че този списък ще бъде полезен за разработчиците на мениджъри на пароли, в случай че открият слаба парола и искат да заведат потребителите директно на страницата, където биха могли да променят паролата, вместо да позволяват на потребителя да намери тази страница самостоятелно.

Apple заяви, че предлага ресурси с мениджър на пароли с отворени източници, защото иска мениджърите на пароли да интегрират тези правила, но и да допринесат за проекта със собствения си поглед върху този проблем, за цялостната полза за безопасността на потребителите.