Προσοχή: χάκερς χρησιμοποιούν νέο εργαλείο το οποίο κλέβει τα στοιχεία ασφαλείας του θύματος σε πραγματικό χρόνο

Ένας ειδικός στον κυβερνοπόλεμο αποκάλυψε πώς να αποφύγετε μια επικίνδυνη διαδικτυακή απάτη που στοχεύει και τους 1,8 δισεκατομμύρια λογαριασμούς Gmail.

Οι χάκερ χρησιμοποιούν ένα νέο εργαλείο που ονομάζεται Astaroth, το οποίο κλέβει τα στοιχεία ασφαλείας του θύματος σε πραγματικό χρόνο, ξεγελώντας το να πιστέψει ότι έχει συνδεθεί κανονικά στους λογαριασμούς του, στέλνοντάς το σε μια ψεύτικη ιστοσελίδα που μοιάζει με τον κανονικό του περιηγητή.

Ο James Knight, με 25 χρόνια εμπειρίας στον τομέα της ψηφιακής ασφάλειας, δήλωσε στη Daily Mail oτι οι χρήστες πρέπει να έχουν ενεργό φίλτρο ανεπιθύμητης αλληλογραφίας (spam filter) στους λογαριασμούς τους για να αποκλείουν αυτά τα phishing emails.

«Όταν λαμβάνετε emails, πρέπει να είστε πολύ προσεκτικοί σχετικά με το τι ανοίγετε και τους συνδέσμους που πατάτε. Να θυμάστε, το γεγονός ότι φαίνεται σαν σελίδα σύνδεσης του Gmail ή του Office δεν σημαίνει ότι είναι»τόνισε.

Το Astaroth μπορεί ακόμη και να βοηθήσει τους χάκερ να υποδυθούν τα θύματα τους, στέλνοντας ψεύτικα emails από τους λογαριασμούς τους.

«Πρόσφατα πραγματοποιήσαμε μια επίθεση όπου αποκτήσαμε πρόσβαση στα emails ενός CEO και στη συνέχεια τα χρησιμοποιήσαμε για να στείλουμε περαιτέρω emails σε υπαλλήλους από αυτόν τον λογαριασμό. Τέτοιες επιθέσεις μπορεί να είναι καταστροφικές για μια εταιρεία», εξήγησε ο κ Knight.

Το νέο εργαλείο phishing, Astaroth, δίνει στους χάκερ τη δυνατότητα να παρακάμπτουν με ανησυχητική ταχύτητα την επαλήθευση δύο παραγόντων (2FA) των email σας.

Το Astaroth ξεγελά τα θύματα κάνοντάς τα να πιστεύουν ότι χρησιμοποιούν τον κανονικό τους περιηγητή, ενώ στην πραγματικότητα είναι μια ψεύτικη έκδοση.

Το Astaroth, δυστυχώς πλέον πωλείται στο σκοτεινό διαδίκτυο (dark web), μπορεί να παρακάμψει την επαλήθευση δύο παραγόντων (2FA) και να αποκτήσει τον έλεγχο των λογαριασμών.

Η επαλήθευση δύο παραγόντων είναι μια μορφή πολυπαραγοντικού ελέγχου ταυτότητας – MFA και συνήθως προσθέτει ένα επιπλέον επίπεδο προστασίας στους προσωπικούς διαδικτυακούς λογαριασμούς σας, συνήθως στέλνοντας έναν κωδικό πρόσβασης στο τηλέφωνο ή το email του νόμιμου χρήστη.

Ωστόσο, αυτό το κιτ phishing κλέβει αυτούς τους κωδικούς σε πραγματικό χρόνο, ξεγελώντας το θύμα να πιστέψει ότι συνδέθηκε κανονικά στους λογαριασμούς του μέσω μιας ψεύτικης σελίδας περιηγητή που φιλοξενείται σε έναν διακομιστή «αντίστροφου μεσολαβητή» (reverse proxy).

Οι χάκερ που χρησιμοποιούν το Astaroth μπορούν να αποκτήσουν πρόσβαση σε ονόματα χρηστών, κωδικούς πρόσβασης, αριθμούς πιστωτικών καρτών, τραπεζικές πληροφορίες και άλλα σημαντικά δεδομένα μόλις το θύμα συνδεθεί στους λογαριασμούς του μέσω αυτών των ψεύτικων σελίδων.

Μέχρι τώρα, τα περισσότερα εργαλεία phishing βασίζονταν στην αποστολή emails με ύποπτους συνδέσμους που οδηγούσαν τα θύματα σε ψεύτικες σελίδες σύνδεσης, καταγράφοντας τα κύρια ονόματα χρηστών και κωδικούς πρόσβασης.Αυτό σήμαινε ότι η επαλήθευση δύο παραγόντων μπορούσε ακόμα να προστατεύσει τους χρήστες, ζητώντας να επιβεβαιώσουν ότι είναι αυτοί που προσπαθούν να συνδεθούν.

Ωστόσο, το Astaroth λειτουργεί σαν μεσάζοντας για τους χάκερ, καταγράφοντας τα διαπιστευτήρια σύνδεσης (ονόματα χρηστών και κωδικούς πρόσβασης), τα διακριτικά (κωδικούς 2FA) και τα cookies περιόδου λειτουργίας (αρχεία του προγράμματος περιήγησης) σε πραγματικό χρόνο.

Όλα αυτά παρακάμπτουν ουσιαστικά οποιαδήποτε μορφή πολυπαραγοντικού ελέγχου ταυτότητας (MFA) στους λογαριασμούς σας.

«Το Astaroth είναι ιδιαίτερα αξιοσημείωτο επειδή συνοδεύεται από υποστήριξη και ενημερώσεις», δήλωσε ο Knight. «Αυτές οι ενημερώσεις είναι απαραίτητες επειδή η Google, η Microsoft κ.λπ. εργάζονται σκληρά για να προστατευθούν από αυτές τις επιθέσεις».

Το Astaroth φέρεται να πουλά το νέο κιτ phishing στο σκοτεινό διαδίκτυο για 2.000 δολάρια και μπορεί να το στείλει στους αγοραστές μέσω της εφαρμογής Telegram.

Σύμφωνα με την τεχνολογική εταιρεία SlashNext, οποιοσδήποτε χρησιμοποιεί υπηρεσίες όπως Gmail, Yahoo, AOL και Microsoft Outlook μπορεί να είναι ευάλωτος σε αυτές τις επιθέσεις.Τόσο η Microsoft όσο και η Google εργάζονται για να προστατεύσουν τους χρήστες τους από αυτό το νέο σχέδιο phishing.

Η Microsoft μάλιστα  έχει κάνει τη μεγαλύτερη δουλειά στην προστασία από αυτού του είδους τις επιθέσεις. Η Google με το Gmail έχει κάνει κάποια βήματα, αλλά όχι στον ίδιο βαθμό.

Πώς ακριβώς λειτουργεί το Astaroth;

Τα θύματα ενεργοποιούν το Astaroth κάνοντας κλικ σε έναν ύποπτο σύνδεσμο, ο οποίος συνήθως αποστέλλεται μέσω spam ή παραπλανητικών emails.

Ο σύνδεσμος στέλνει το θύμα σε έναν διακομιστή αντίστροφου μεσολαβητή (reverse proxy) που χρησιμοποιεί ο χάκερ αντί για τον κανονικό του περιηγητή.

Ο κακόβουλος διακομιστής βρίσκεται «μπροστά» από τον νόμιμο διακομιστή, την εφαρμογή ή την υπηρεσία cloud του χρήστη και προωθεί όλα τα αιτήματα του περιηγητή του θύματος στον χάκερ.

Για τους κυβερνοεγκληματίες, αυτό τους επιτρέπει να παρακολουθούν και να καταγράφουν όλα όσα προσπαθεί να στείλει το θύμα στον κανονικό του περιηγητή.

Ο κακόβουλος διακομιστής μιμείται την εμφάνιση του κανονικού ιστότοπου του θύματος, ενώ συνεχίζει να στέλνει την κυκλοφορία μεταξύ του θύματος και της πραγματικής σελίδας σύνδεσης.

Με απλά λόγια, εάν βρίσκεστε στο Gmail, το Astaroth εμφανίζει μια ψεύτικη οθόνη σύνδεσης του Gmail για να χρησιμοποιήσει το θύμα, επιτρέποντας στον χάκερ να αντιγράψει τα προσωπικά του δεδομένα πριν τα προωθήσει στην πραγματική σελίδα του Gmail.

Σύμφωνα με το FBI, τα phishing ήταν η συχνότερα αναφερόμενη μορφή διαδικτυακού εγκλήματος το 2023.

Πηγή:Daily Mail