Министерство транспорта Российской Федерации
ФГУП «ЗащитаИнфоТранс»

ЦЕНТР КИБЕРБЕЗОПАСНОСТИ ФГУП «ЗАЩИТАИНФОТРАНС» СООБЩАЕТ

Инструмент для проведения тестов на проникновение Modlishka, который опубликован в начале года, способен автоматизировать фишинговые атаки. Так же с помощью данной программы злоумышленники могут взломать аккаунты, защищенные двухфакторной аутентификацией.

Программа представляет собой обратный прокси, приспособленный под трафик страниц авторизации и фишинговых операций.  Сервер Modlishka устанавливается между пользователем и атакуемым ресурсом (например, Gmail, Yahoo или ProtonMail). Жертва подключается к серверу, на котором расположен фишинговый домен, и обратный прокси делает запрос к сайту, за который он себя выдает. Жертва получает настоящий контент от легитимного ресурса, но весь трафик проходит через сервер Modlishka, и вводимые ею пароли записываются.

Modlishka запрашивает у жертвы токены двухфакторной аутентификации в случае, если этого требуют настройки учетной записи. Если атакующий может собирать токены в режиме реального времени, это дает ему возможность авторизоваться в чужих учетных записях и инициировать новые легитимные сеансы. Таким образом, Modlishka избавляет фишеров от необходимости использовать «клоны» настоящих сайтов для заманивания жертв. Поскольку пользователь получает контент от настоящего ресурса, у злоумышленников нет нужды тратить драгоценное время на подготовку и настройку подделки. Достаточно лишь иметь доменное имя для фишингового сайта, размещенного на сервере Modlishka, и сертификат TLS, чтобы браузер не предупреждал жертву об опасности использования незащищенного соединения. Завершающий шаг – создание простого конфигурационного файла для направления жертвы на легитимный ресурс до того, как она успеет заметить подозрительное доменное имя.

Эксперты Центра кибербезопасности ФГУП «ЗащитаИнфоТранс» для защиты от фишинговых атак рекомендуют:

• проверяйте URL-адреса а особенно ссылки, полученные от незнакомых отправителей. Зачастую злоумышленники используют похожие по написанию домены. Например, g00gle.com, faecbook.com, secure-paypal.com;

• никогда не сообщайте никому пароли, коды или иные данные, используемые для подтверждения платежей (или иных транзакций). Современные системы безопасности создаются таким образом, чтобы пароли и коды не передавались от человека к человеку;

• проверяйте наличие префикса HTTPS:// на сайтах, где требуется ввести конфиденциальную информацию, например, пароли;

• для защиты используйте современные системы предотвращения вторжений, а также антивирусные программы и спам-фильтры, они эффективно противодействуют массовым фишинг-атакам;

• большинство современных браузеров содержат встроенные механизмы противодействия массовым фишинг-атакам. Необходимо обращать внимание на сообщения браузера об угрозах;

• на корпоративном почтовом сервере необходимо настроить поддержку технологий защиты электронной почты, которые уже содержат необходимые механизмы борьбы с фишинг-атаками — SPF, DKIM, DMARC;

• ответственным за обеспечение информационной безопасности в компаниях, необходимо провести обучение и повышения осведомленности сотрудников о данном виде атак.