Villámgyorsan terjedő új csalókészletek
A támadási hullám 2024 elején ugrott meg igazán: márciusban már tizenötször annyi eszközkódos adathalászoldalt láttak, mint az előző évben, később ez a szorzó 37 és félszeresére nőtt. Ezeket a támadásokat eredetileg főként államilag támogatott és profitért dolgozó hackerek használták, de mostanra egyszerűen elérhetők lettek, hála a modern adathalászat-szolgáltatásként (PhaaS) működő platformoknak és csalókészleteknek.
A legismertebb ilyen készlet az EvilTokens, de sok más versenytárs is létezik. Ezek közül a VENOM zárt forráskódú, az EvilTokens másolata, a SHAREFILE Citrix ShareFile-átverésekkel dolgozik, míg a CLURE SharePoint-imitációval. Megjelentek LinkedIn-, Microsoft Teams-, Adobe- és HR-tematikájú készletek is (LINKID, AUTHOV, FLOW_TOKEN), sőt vannak, akik Office 365-höz, illetve Dolce & Gabbana-oldalakhoz hasonló felületeket is gyártanak (PAPRIKA, DOLCE). Ezekben közös, hogy valósnak tűnő SaaS-csalikat, felhőszolgáltatásokat, botellenes védelmet és más trükköket alkalmaznak.
Mit lehet tenni ellene?
Összesen már legalább 11 különböző csalókészlet kínálja a technikát, miközben a támadók egyre gyakrabban használnak hiteles márkaneveket (például DocuSign- vagy Microsoft Office-imitációkat), hogy kicsalják az adataidat. Ezután minden a háttérben zajlik, és a gyanútlan áldozat azt hiszi, egy valódi szerződést ír alá, miközben épp támadók jutnak hozzá egy céges fiókhoz.
Továbbra is az egyik leghatékonyabb védekezés, ha az eszközkód-alapú bejelentkezést letiltod ott, ahol nem szükséges, illetve feltételes hozzáférési szabályokat állítasz be a fiókjaidhoz. Emellett figyeld a naplókat a szokatlan bejelentkezési események, IP-címek és furcsa eszközkódos azonosítások után – így csökkentheted a csalók esélyét.
