Ειδικοί σε θέματα ασφάλειας ανθρώπινης συμπεριφοράς από την εταιρεία Abnormal δημοσίευσαν μια ανάλυση για το Evilginx, ενός εργαλείου που μπορεί να χρησιμοποιηθεί από εγκληματίες του κυβερνοχώρου για να παρακάμψουν τις προστασίες ασφαλείας ελέγχου ταυτότητας δύο παραγόντων (2FA) σε πλατφόρμες όπως το Gmail και το Outlook.
Το Evilginx λειτουργεί ως διακομιστής μεσολάβησης, επιτρέποντας την κλοπή διαπιστευτηρίων σύνδεσης και των cookies περιόδου λειτουργίας, καθιστώντας έτσι το 2FA αναποτελεσματικό και επιτρέποντας μη εξουσιοδοτημένη πρόσβαση.
Τι είναι το Evilginx;
Το Evilginx δεν είναι ένα νέο φαινόμενο. Υπάρχει από το 2018 και λειτουργεί ως εργαλείο επίθεσης για την υποκλοπή διαπιστευτηρίων. Σε αντίθεση με τις παραδοσιακές τεχνικές phishing, το Evilginx μεταφέρει την επισκεψιμότητα στον στόχο, κάνοντας την εμπειρία απρόσκοπτη για το θύμα.
Ο εισβολέας δημιουργεί έναν κλωνοποιημένο ιστότοπο και οδηγεί τα ανυποψίαστα θύματα να τον επισκεφθούν. Καθώς το θύμα εισάγει τα διαπιστευτήριά του, αυτά προωθούνται στον αυθεντικό ιστότοπο, ενώ ο εισβολέας αποκτά πρόσβαση στη συνεδρία του χρήστη, παρακάμπτοντας έτσι το 2FA.
Πώς και γιατί χρησιμοποιείται το Evilginx από κυβερνοεγκληματίες
Το Evilginx έχει γίνει ένα δημοφιλές εργαλείο για τους χάκερ, καθώς επιτρέπει την παράκαμψη των προστασιών 2FA.
Αρχικά σχεδιάστηκε ως εργαλείο δοκιμής διείσδυσης και είναι διαθέσιμο ως εργαλείο ανοιχτού κώδικα, γεγονός που επιτρέπει σε οποιονδήποτε να το τροποποιήσει και να το χρησιμοποιήσει.
Συχνά χρησιμοποιείται για την κλοπή διαπιστευτηρίων σε στόχους υψηλής αξίας, όπως τράπεζες και λογαριασμούς email. Για παράδειγμα, η πρόσβαση σε έναν λογαριασμό Google μέσω του Evilginx δίνει στους εισβολείς πλήρη πρόσβαση σε επιβεβαιώσεις επαναφοράς κωδικού πρόσβασης και άλλες ιδιωτικές πληροφορίες.
Ο Daniel Kelley, ερευνητής ασφαλείας στο Abnormal, προειδοποιεί ότι το Evilginx παρακάμπτει το 2FA, παρέχοντας στους εγκληματίες του κυβερνοχώρου τα μέσα για μη εξουσιοδοτημένη πρόσβαση. Μόλις αποκτήσουν το cookie περιόδου λειτουργίας, οι εισβολείς μπορούν να αποκτήσουν πρόσβαση σε λογαριασμούς χωρίς να ενεργοποιήσουν ειδοποιήσεις 2FA.
Τα μέτρα προστασίας από τους χάκερ
Ο Mike Britton, επικεφαλής της ασφάλειας πληροφοριών στην Abnormal Security, επισημαίνει τον σημαντικό κίνδυνο που προκύπτει από τις επιθέσεις Evilginx, καθώς επιτρέπει στους κυβερνοεγκληματίες να παρακάμψουν το MFA. Για τον μετριασμό αυτού του κινδύνου, προτείνονται τα εξής:
- Χρησιμοποιήστε πιο δύσκολες μεθόδους 2FA: Όπως κλειδιά ασφαλείας hardware ή βιομετρικά στοιχεία, αντί για κωδικούς που βασίζονται σε SMS.
- Χρησιμοποιήστε εφαρμογές 2FA: Που παρέχουν ειδοποιήσεις σε πραγματικό χρόνο ή push notifications για να απορρίψετε δόλιες προσπάθειες σύνδεσης.
- Παραμείνετε σε εγρήγορση για το phishing: Οι επιθέσεις παράκαμψης 2FA συχνά ξεκινούν με μια προσπάθεια phishing για την κλοπή κωδικών πρόσβασης ή διακριτικών συνεδρίας.
Το Evilginx αποτελεί μια σοβαρή απειλή για την ασφάλεια, καθώς επιτρέπει την παράκαμψη των συστημάτων 2FA, ανοίγοντας τον δρόμο για μη εξουσιοδοτημένη πρόσβαση σε λογαριασμούς. Η συνειδητοποίηση και η υιοθέτηση βέλτιστων πρακτικών ασφαλείας είναι απαραίτητες για την προστασία από τέτοιου είδους επιθέσεις.
Συναγερμός για τους χρήστες Gmail
Στην περίπτωση του Gmail, για παράδειγμα, της μεγαλύτερης δωρεάν υπηρεσίας ηλεκτρονικού ταχυδρομείου στον κόσμο με 3,45 δισεκατομμύρια χρήστες, η πρόσβαση σε έναν λογαριασμό Google παρέχει συνεχή πρόσβαση σε επιβεβαιώσεις επαναφοράς κωδικού πρόσβασης μαζί με κάθε είδους ιδιωτικές πληροφορίες που μπορούν να χρησιμοποιηθούν για περαιτέρω κακόβουλες δραστηριότητες.
«Αυτές οι πλατφόρμες βασίζονται συχνά στο 2FA ως μέτρο ασφαλείας», είπε ο Kelley «και το Evilginx προσφέρει έναν τρόπο να παρακάμψει ο κάθε κυβερνοεγκληματίας αυτή την προστασία».
