כמיליון יורו הועברו להאקרים שהשתמשו במתקפת פישינג מתוחכמת

מקרה לקוח: פישינג מתוחכם לחטיפת Sessions והתגברות על אימות דו־שלבי (2FA) 

איך תוקף הצליח לעקוף את הגנות הארגון ולבצע מתקפת Man-in-the-Middle באמצעות Evilginx

במסגרת אירוע אבטחת מידע הצליח תוקף לעקוף את האימות הדו־שלבי של המשתמשים, לחטוף את Session ההתחברות שלהם ולבצע פעולות כמשתמשים במערכות הארגוניות.
המתקפה בוצעה באמצעות הכלי Evilginx שמחקה את דף הכניסה לארגון, תופס את פרטי ההתחברות ואת קוד ה־2FA, ולבסוף את עוגיות ה־Session המתקבלות.
כך הכלי מאפשר לתוקף גישה ישירה לחשבונות הארגוניים, ובכלל זה תיבות דואר חשובות.
ניצול זה הוביל לדליפת מידע רגיש ולאובדן כספי ניכר שנאמד במאות אלפי דולרים.

הבנת מתקפת הפישינג המתוחכמת

מהו Evilginx וכיצד הוא מנצל את ה־Session של המשתמש באמצעות מתקפת MitM

Evilginx הוא כלי מתוחכם שמאפשר לתוקפים לחטוף Sessions תוך עקיפת אימות דו־שלבי.
המתקפה מתבצעת על ידי יצירת אתר פישינג המתחזה לאתר האמיתי, ואליו מופנים משתמשים ללא ידיעתם.
כאשר המשתמש מנסה להיכנס, Evilginx מבצע מתקפת Man-in-the-Middle ומעביר את בקשות ההתחברות דרך שרת התוקף, המאפשר לו לאסוף את שם המשתמש, הסיסמה והטוקנים של ה־2FA, ובכך לאחסן את פרטי ההתחברות ועוגיות ה־Session של המשתמש.
לאחר מכן, התוקף יכול להשתמש בעוגיות הSession שהתקבלו כדי לגשת לחשבון המשתמש ללא צורך בסיסמה או באימות נוסף.

שלבי התקיפה: חטיפת ה־Session באמצעות Evilginx

איך Evilginx מבצע את התהליך מרגע הכניסה ועד להשגת ה־Session

1. יצירת אתר מזויף: תוקף יוצר עמוד אינטרנט שנראה בדיוק כמו העמוד האמיתי של אתר חשוב – כמו בנק, מייל או רשת חברתית. הכתובת דומה, אבל שונה במקצת, כמו "com" במקום "microsoft.com".
2. שכנוע ללחוץ על הקישור: התוקף שולח קישור שמוביל לעמוד המזויף. הקישור יכול להופיע במייל או בהודעת טקסט, ולפעמים ייראה לגיטימי, עם הודעה שמבקשת להיכנס למשתמש מסיבה כלשהי.
3. האתר המזויף כ"מתווך": כאשר מזינים את שם המשתמש, הסיסמה ואפילו את קוד האימות שמגיע לטלפון, האתר המזויף שולח את כל הפרטים האלו לאתר האמיתי.
   כיוון שהכל עובר דרך האתר המזויף, הקורבן אינו מרגיש בשום דבר חריג.
4. גניבת עוגיות ה־Session: בסוף תהליך ההתחברות, האתר המזויף לוקח לעצמו את עוגיות ה־Session שהתקבלו – אותו מזהה שהאתר האמיתי נותן כדי לשמור על חיבור רציף לחשבון.
   העוגיות הללו מאפשרות להישאר מחוברים לחשבון בלי צורך להזין שוב סיסמה או קוד אימות.
5. שימוש בעוגיות כדי לגשת לחשבון: עם עוגיות ה־Session בידיהם, התוקפים יכולים עכשיו לגשת לאתר האמיתי ולהיכנס כאילו הם הקורבן, בלי צורך שוב להזין סיסמה או קוד אימות, כאילו יש להם "מפתח ספייר" לחשבון עד שהקורבן יתנתק או יבצע איפוס חשבון.

מקרה לקוח: השתלטות על תיבת דואר וניצולה להעברת מאות אלפי דולרים

כיצד הצליח תוקף לעקוף את מנגנון 2FA של Microsoft 365 ולבקש שינוי חשבון בנק של אחד מלקוחות הארגון

במהלך אותו מקרה שחקרנו, נמצא כי התוקף הקים שרת Evilginx ויצר עמוד פישינג המתחזה לעמוד הכניסה של Microsoft 365. לינק לעמוד זה נשלח לכמה מעובדי הארגון תוך ניצול של פגיעות Open Redirect שנמצאה בדומיין של Google.com בתקופה האחרונה. כך למשל, הלינק הבא, שנראה ששייך לגוגל יוביל אתכם לאתר של IPV Security:

https://www.google.com/url?q=3HOSozuuQiApLjODz3yh&rct=tTPSJ3J3wDFX0jkXyycT&sa=t&esrc=WSECxFgECA0xys8Em2FL&source=&cd=HXUursu8uEcr4eTiw9XH&cad=XpPkDfJ9mfdQ6lDJVS0Y&ved=xjnktlqryYWwZIBRrgvK&uact=&url=amp%2Fipvsecurity.com

ברגע שאחד מן העובדים לחץ על הלינק, הוא הועבר לאתר הפישינג, ושרת ה־Evilginx של התוקף הצליח ללכוד את עוגיות ה־Session הפעיל. מתחקור מאוחר אפשר לומר כי Session המשתמשים של הארגון ב־365 הוגדר כך שלעולם לא יהיה פג תוקף. כך, תוקף הצליח לגשת לחשבון אחד העובדים עם הרשאות לתיבת הדואר הארגונית, ללא צורך בהקלדת סיסמה נוספת או טוקן נוסף של 2FA.

לאחר קבלת שליטה על תיבת הדואר, התוקף שלח מייל ללקוחות החברה וביקש מהם לשנות את חשבון הבנק, שאליו הם מעבירים את התשלום על שירותי החברה, לחשבון בבעלות התוקף. כדי למנוע מהעובד האמיתי לראות מיילים שהתקבלו חזרה מהלקוח הוא החיל Rule חדש הקובע כי כל מייל בנושא קבלות יש להעביר לתיקיית ה־RSS Feeds, תיקיית ברירת מחדל שלרוב המוחלט אינה בשימוש כלל על ידי המשתמשים, אך כך יכול היה להסתיר את ההתקשרויות עם לקוחות החברה.

אחד מלקוחות החברה שאליה הייתה שייכת תיבת הדואר שנפרצה הסכים לבקשת הדוא"ל שקיבל ועדכן את חשבון היעד לחשבון בנק התוקף, פעולה שהובילה להעברת מאות אלפי דולרים לחשבונו ללא כל אישור נוסף מהחברה.

תובנות ממומחי סייבר בכירים של IPV Security

כדי למנוע תרחישים דומים, אנו ממליצים לארגונים לבצע את הצעדים האלה:

1. נהלי שינוי חשבון בנק: חובה לקיים נוהל, עליו חותמים ספקים ולקוחות, אשר מחייב שתהליך שינוי מספר חשבון בנק יכלול לפחות שיחת אישור טלפונית, ומסמך אישור ניהול חשבון מהבנק.
2. שימוש באימות מבוסס מכשיר: יש לשקול שימוש בפתרונות מבוססי חומרה כמו FIDO2 או בטוקנים מבוססי מכשיר שמאמתים את המשתמש בצורה פיזית ואינם מסתמכים על קודים בלבד.
3. הגבלת תוקף ה־Session: יש להגביל את תוקף ה־Sessions הפעילים בעת התחברות לאפליקציות ארגוניות.
4. שימוש ב־Conditional Access: יש להגדיר מנגנוני התחברות מבוססים Conditional Access המאפשרים התחברות רק ממדינות רלוונטיות ואף מכתובות IP ספציפיות וכן התרעות על התחברות מכתובות IP חדשות.
5. שימוש בזיהוי התנהגותי: מנגנוני אבטחה אשר מבוססים על דפוסי התנהגות יכולים לסייע בזיהוי פעילויות חריגות ולהתריע בזמן אמת.
6. הגברת מודעות העובדים: יש לבצע תרגולי פישינג ארגוניים והדרכות כיצד לזהות אתרי פישינג על בסיס רבעוני כדי להגביר את ערנות ומודעות העובדים לסיכונים האפשריים.
7. חסימת גישה לאתרים מפוקפקים: על ידי יישום מערכות סינון ובקרת גישה מבוססת DNS, אפשר לחסום את הגישה לאתרים לא מאובטחים העלולים לשמש לפישינג.

סיכום

האירוע שהתרחש מדגיש את החולשה של אימות דו־שלבי כאשר הוא מתבצע רק באמצעות טוקנים הנשלחים למשתמש. תוקפים יכולים לעקוף הגנות אלו באמצעות כלים כמו Evilginx ולבצע חטיפת עוגיות Session בצורה מתוחכמת. יישום אמצעי אבטחה מתקדמים ופרואקטיביים והדרכות מודעות תכופות לעובדי הארגון יכולים לצמצם את הסיכון ולמנוע פרצות מסוג זה.

להתייעצות מקצועית ניתן לפנות אלינו לאימייל info@ipvsecurity.com או במספר הטלפון 077-4447130. IPV Security מתמחה זה 19 שנה באבטחת מידע, סייבר, סקרי סיכונים ותקנים ורגולציות הנוגעים לביטחון מידע ועוד.