Így néz ki a láncolt adathalász támadás
Míg a régi típusú adathalász e-mailek könnyen felismerhető jeleket mutattak (furcsa feladó, oda nem illő tárgy), a mai támadások több, hitelesnek tűnő lépésből állnak. Előfordul, hogy valaki első ránézésre hétköznapi linket kap, például Google Drive- vagy Dropbox-címről. A linkre kattintva azonban egy láncba fűzött folyamat indul: minden lépésnél jól ismert oldalakon, teljesen valóságosnak látszó űrlapok, engedélykérések, CAPTCHA-k vagy e-mail megerősítések bukkannak fel – és mire az áldozat észbe kap, már átadta céges belépési adatait a támadónak.
Ez a módszer éppen azért működik, mert a támadók hivatalos, ismert platformokat és domain neveket használnak, amelyeket a vállalati biztonsági rendszerek és az IT-biztonság nem érzékel veszélyesként – hiszen ezek megbízhatónak számítanak.
Miért ennyire hatékonyak ezek a támadások?
A böngésző az irodai dolgozók mindennapjainak központja lett: a kódellenőrzéstől a HR-feladatokig szinte minden ott kezdődik és végződik. A támadók ezt az egyetlen pontot támadják, miközben a védelem ritkán fókuszál ténylegesen a böngészőre. Még a legóvatosabb kollégák is könnyen bedőlnek, ha ismert domainről kapnak linket, amely a megszokott eljárásoknak megfelelően – például CAPTCHA vagy e-mail hitelesítés is megjelenik, hiszen ezek már mindennaposak belépéskor, ügyintézéskor. A klasszikus védekezés (mint a veszélyes domainek tiltólistája vagy a végpontvédelem) nem látja a veszélyt, így a támadások zavartalanul célba érnek.
Mire nem lát rá a jelenlegi védelmi rendszer?
Az ilyen támadások gyakran teljesen ártatlan, megbízható szolgáltatások felől indulnak, ezért simán átcsúsznak az e-mail védelmen, a hálózati szűrőkön vagy a DNS-szűrésen is. Ezek a rendszerek ugyanis csak a már lebukott, veszélyes oldalakra figyelnek. Mivel sokszor nincs is szó malware-ről – csupán belépési adatokat csalnak ki – az antivírus vagy a végpontvédelem semmit sem észlel belőlük.
A böngészőben kell megállítani a támadást
A láncolt adathalász támadások tudatosan használják ki azokat a bizalmi útvonalakat, melyeken keresztül a dolgozók nap mint nap közlekednek. Hagyományos eszközökkel szinte lehetetlen felismerni őket, mire a belépési adatok kiszivárognak, már késő. Ahhoz, hogy ezek a trükkök ne okozhassanak kárt, a védelmet közvetlenül a böngészőben, az adatok begépelésének pillanatában kell alkalmazni – így lehet valóban időben elcsípni a támadásokat.
