Spear phishing je cílený phishing, kterému se lze jen těžko bránit
4. díl

Publikováno: 07. 01. 2020, v rubrice: Bezpečnost, autor: Miroslav Čermák , zobrazeno: 1 178x

V minulém dílu jsem psal, jak jsou vedeny vícefázové útoky na uživatele mající svou poštu umístěnou v cloudu O365.

V dnešním dílu se podíváme, jak jsou zneužívány EML přílohy, cloud, obrázky a automatická pravidla k zajištění přístupu k e-mailům i po případné změně hesla ze strany uživatele.

Byť útočníci mají možnost používat různé techniky, jako ropemaker, homografní útoky, phishing with style, tak jim často stačí napsat jen prostý e-mail napodobující vzhled e-mailů organizace, za kterou se útočník vydává, a poslat jej z domény, která je ne nepodobná skutečné doméně dané organizace.

Tak tomu bylo i v případě společnosti Microsoft, kdy útočník rozeslal e-mail z domény „rnicrosoft.com“, kde využil skutečnosti, že znaky „r“ a „n“ umístěny vedle sebe vypadají podobně jako m. Na této technice není nic inovativního, ale ukazuje se, že je stále účinná, a že umělá inteligence, která by měla tyto a obdobné případy detekovat, se má stále pořad co učit.

Phishing ukrytý v EML příloze

V dalších případech pak bylo využito skutečnosti, jak je zacházeno s přílohami. Ty jsou sice skenovány, zda neobsahují škodlivý kód, ale pokud je přílohou soubor s příponou EML, což je v podstatě standardní formát pro ukládání e-mailů do souboru, který je reprezentovaný ikonou obálky, tak v něm již stejná kontrola jako v e-mailu neprobíhá.

A protože lze EML soubor snadno vytvořit a upravovat v jakémkoliv textovém editoru, je možné jej upravit tak, aby v poli odesílatele i příjemce byly uvedeny takové adresy, které potřebujete. Tedy takové adresy, které pocházejí z organizace odesílatele anebo příjemce, a které příjemce dobře zná.

Když je pak k těmto e-mailům dotažena z cloudu i fotografie osoby, která je uvedena jako odesílatel, tak je na problém zaděláno. Většina uživatelů totiž neví, že EML je obyčejný textový soubor a může být snadno upraven, ostatně nemá k tomu důvod, protože i když jej v minulosti třeba někdy dostala, tak neměla důvod jej editovat, prostě na něj klikla a on se jim otevřel v jejich e-mailovém klientovi.

Pod svícnem je tma

Na phishing weby můžeme narazit přímo v microsoftím cloudu, takže mají i platný certifikát a vzbuzují tak dostatečnou důvěru.

Pokud příjemce na odkaz v e-mailu klikne, je přesměrován na falešnou přihlašovací stránku a zadané přihlašovací údaje jsou pak v některých případech použity v reálném čase, takže pokud jsou zadané chybně, je zobrazeno chybové hlášení a uživatel je vyzván k jejich opětovnému zadání, což je nové.

V případě úspěšné autentizace je pak přes IMAP zahájena sychnronizace e-mailů a ve finále je uživatel přesměrován na pravou stránku. Útočník má platné přihlašovací údaje a může přistoupit do cloudu pod profilem daného uživatele a řádit v něm dál jak černá ruka.

Obrázek, jenž vydá za tisíc slov

V rámci šíření SPAMu se text nahrazuje obrázkem již léta, aby se obešly nejrůznější filtry. Zde se nově objevil obrázek, který vznikl jako výsledek uložení textu, ve kterém byly úmyslně použity homomorfní znaky.

Takový text je velice obtížné načíst OCR programem a správně interpretovat, protože v žádném jazyce nedává při prostém strojovém zpracování smysl. Člověk ho jednoduše přečte, ale umělá inteligence opět není na takové úrovni, aby si s tím poradila.

Ona by si s ním samozřejmě poradila, ale někdo by jí to musel naučit, takže ještě nějakou dobu to bude pro ni představovat problém. Osobně se však domnívám, že se bude jednat o slepou vývojovou větev, podobně jako tomu bylo třeba u BackSwap.

Zrádná pravidla

Ať už je příjemce zmanipulován přímo anebo přes EML soubor, tak ve výsledku je po kliknutí na odkaz v e-mailu přesměrován na stránku, na které zadá své přihlašovací údaje. V tu chvíli se již útočník může přihlásit na jeho účet a pod jeho účtem zaslat e-mail na další adresu nebo adresy. Takový e-mail již přichází z důvěryhodné adresy a příjemce nemá důvod o jeho pravosti pochybovat.

Útočník pak dále využívá skutečnosti, že se v rámci O365 dají nastavit pravidla, jak se má zacházet s doručenými e-maily, a že jen málokdo tato pravidla kontroluje, ostatně běžný uživatel k tomu nemá důvod, a pokud si dokonce už jednou takové pravidlo pracně nastavil, proč by jej pořád kontroloval?

Útočník tak může nastavit, aby veškerá doručená nebo vybraná pošta byla přeposílána na jeho adresu. Takže i v případě, že si oběť změní heslo, tak se útočník k jejím e-mailům dostane a může dál těchto informací využívat k cíleným útokům, neboť bude přesně vědět, kdo s kým komunikuje, jaký používá styl a co se v dané organizaci děje.

A jak zjistit na jakou adresu ten spear phishing e-mail vůbec poslat? Někdy stačí jen projet sociální sítě, zjistit si, kde, kdo pracuje a pak vyzkoušet pár e-mailových adres. To zda existují, vám řekne sám Microsoft, stačí se ho jen zeptat.

Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
ČERMÁK, Miroslav. Spear phishing je cílený phishing, kterému se lze jen těžko bránit – 4. díl. Online. Clever and Smart. 2020. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/spear-phishing-je-cileny-phishing-kteremu-se-lze-jen-tezko-branit-4-dil/. [cit. 2025-03-19].

Štítky: O365, phishing

Návrat na hlavní stránku

Miroslav Čermák 09.01.2020, 10:09:12 napsal:
Objevil se další útok zneužívající skutečnosti, že si aplikace třetí strany po úspěšné autentizaci uživatele do O365 vyžádá schválení oprávnění a tím si útočník zajistí přístup: https://krebsonsecurity.com/2020/01/tricky-phish-angles-for-persistence-not-passwords/

K článku “Spear phishing je cílený phishing, kterému se lze jen těžko bránit
4. díl” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.