विशेष फ़िशिंग उपकरण खातों के लिए एमएफए सुरक्षा को तोड़ता है

साइबर अपराधी कार्यकारी खातों को हाईजैक करने के लिए मल्टी-फैक्टर ऑथेंटिकेशन (एमएफए) का तेजी से उपयोग कर रहे हैं। प्रूफपॉइंट के आईटी सुरक्षा विशेषज्ञों ने यही पता लगाया है। उन्होंने पिछले छह महीनों में उन घटनाओं में 100 प्रतिशत से अधिक की वृद्धि देखी है जहां साइबर अपराधी प्रमुख कंपनियों में उच्च-स्तरीय अधिकारियों के क्लाउड खातों तक पहुंच प्राप्त करने में सक्षम थे।

दुनिया भर में 100 से अधिक कंपनियाँ जिनमें कुल 1,5 लाख से अधिक कर्मचारी हैं, प्रभावित हैं। अपराधियों ने अपने हमलों के लिए EvilProxy का उपयोग किया। यह रिवर्स प्रॉक्सी आर्किटेक्चर वाला एक फ़िशिंग टूल है जो हमलावरों को एमएफए-संरक्षित क्रेडेंशियल और सत्र कुकीज़ चुराने की अनुमति देता है।

हमलावर एमएफए सुरक्षा को दरकिनार कर देते हैं

प्रूफपॉइंट विशेषज्ञ इन नए हमलों का आकलन करते हैं: “साइबर अपराधियों द्वारा कर्मचारी क्रेडेंशियल्स की अत्यधिक मांग की जाती है: वे मूल्यवान या संवेदनशील कंपनी की जानकारी और उपयोगकर्ता खातों तक पहुंच प्रदान कर सकते हैं। जबकि क्रेडेंशियल आम तौर पर विभिन्न प्रकार के आक्रमण वैक्टर प्रदान करते हैं, सभी क्रेडेंशियल समान रूप से मूल्यवान नहीं होते हैं। अनुसंधान से पता चलता है कि अपराधी अक्सर विशिष्ट कार्यों या विभागों को निशाना बनाते हैं। ऐसा करने में, उन्हें अपने तरीकों और तकनीकों को लगातार विकसित करना होगा, उदाहरण के लिए बहु-कारक प्रमाणीकरण को पलटना।

आम धारणा के विपरीत, एमएफए परिष्कृत क्लाउड-आधारित हमलों के खिलाफ रामबाण नहीं है। एक बार अंदर जाने के बाद, दुर्भावनापूर्ण अभिनेता किसी संगठन के आसपास बिना पहचाने छिप सकते हैं और अपनी इच्छानुसार परिष्कृत हमले शुरू कर सकते हैं। ऑफ-द-शेल्फ एमएफए बाईपास फ़िशिंग किट अब सर्वव्यापी हैं, जो गैर-तकनीकी अपराधियों को भी फ़िशिंग अभियान शुरू करने और कर्मचारियों को उनके खाते के क्रेडेंशियल छोड़ने के लिए बरगलाने की अनुमति देते हैं।

प्रॉक्सी दुरुपयोग को उल्टा करें

एमएफए के बढ़ते उपयोग से फ़िशिंग किट और टूल का प्रसार हुआ है जो सुरक्षा की इस परत को बायपास करने में मदद करते हैं। साइबर अपराधी वास्तविक समय में क्रेडेंशियल्स और सत्र कुकीज़ चुराने के लिए एविलप्रॉक्सी जैसी एडवर्सरी-इन-द-मिडिल (एआईटीएम) फ़िशिंग किट का तेजी से उपयोग कर रहे हैं।

फ़िशिंग टूल के रूप में EvilProxy की प्रभावशीलता सर्वविदित है। हालाँकि, प्रूफपॉइंट के विशेषज्ञों ने बिजनेस ईमेल समझौता (बीईसी) और अकाउंट टेकओवर (एटीओ) जैसे जोखिमों और संभावित परिणामों के बारे में आईटी सुरक्षा नेताओं की जागरूकता में एक चिंताजनक अंतर की पहचान की।

चरण 1: EvilProxy के साथ फ़िशिंग

मार्च की शुरुआत से, प्रूफपॉइंट विशेषज्ञ एक अभियान की निगरानी कर रहे हैं जो हजारों Microsoft 365 उपयोगकर्ता खातों पर हमला करने के लिए EvilProxy का उपयोग करता है। इस अभियान की कुल मात्रा प्रभावशाली है: मार्च और जून 2023 के बीच, दुनिया भर के सैकड़ों लक्षित संगठनों को लगभग 120.000 फ़िशिंग ईमेल भेजे गए थे।

अपने हमलों के फ़िशिंग चरण में, अपराधियों ने तीन मुख्य तकनीकों का उपयोग किया:

• ब्रांड प्रतिरूपण: प्रेषक विश्वसनीय सेवाओं और एप्लिकेशन का प्रतिरूपण करते हैं, जैसे। बी. कॉन्कर सॉल्यूशंस, डॉक्यूसाइन और एडोब।
• स्कैन अवरोधन: हमलावरों ने सुरक्षा समाधानों के लिए अपनी दुर्भावनापूर्ण वेबसाइटों का विश्लेषण करना कठिन बनाने के लिए साइबर सुरक्षा स्कैनिंग बॉट के विरुद्ध सुरक्षा का उपयोग किया।
• संक्रमण की बहु-स्तरीय श्रृंखला: हमलावर खुले तौर पर पहुंच योग्य वैध रीडायरेक्ट के माध्यम से ट्रैफ़िक को रीडायरेक्ट करते हैं।

अपने ईमेल को स्वचालित स्कैनिंग टूल से छिपाने के लिए, हमलावर विशेष ईमेल एन्कोडिंग का उपयोग करते हैं और अपने PHP कोड को अपलोड करने और किसी विशिष्ट उपयोगकर्ता के ईमेल पते को डिक्रिप्ट करने के लिए हैक की गई वैध वेबसाइटों का उपयोग करते हैं।

चरण 2: खाता समझौता

लक्षित उपयोगकर्ताओं की सूची में कई उच्च-स्तरीय लक्ष्य शामिल हैं, उदा. बी. अग्रणी कंपनियों में प्रबंध निदेशक, कॉर्पोरेट निदेशक, सी-लेवल अधिकारी और उपाध्यक्ष। इन व्यक्तियों को अपराधियों द्वारा विशेष रूप से महत्व दिया जाता है क्योंकि उनके पास संभावित रूप से संवेदनशील डेटा और संपत्तियों तक पहुंच होती है। समझौता किए गए सैकड़ों उपयोगकर्ताओं में से, लगभग 39 प्रतिशत वरिष्ठ प्रबंधन ("सी-लेवल") कर्मचारी थे, जिनमें 17 प्रतिशत सीएफओ और 9 प्रतिशत अध्यक्ष और सीईओ शामिल थे। हमलावर निचले स्तर के प्रबंधन में भी रुचि दिखाते हैं, अपने प्रयासों को संपत्ति या संवेदनशील जानकारी तक पहुंच वाले कर्मचारियों पर केंद्रित करते हैं।

चरण 3: समझौते के बाद दुर्व्यवहार

एक बार जब हमलावर किसी पीड़ित के खाते तक पहुंच प्राप्त कर लेते हैं, तो वे खुद को पीड़ित के क्लाउड वातावरण में स्थापित कर लेते हैं। कई अवसरों पर, हमलावरों ने एमएफए हेरफेर करने के लिए मूल Microsoft 365 एप्लिकेशन का उपयोग किया। "माई साइन-इन" का उपयोग करके, हमलावर अपनी स्वयं की बहु-कारक प्रमाणीकरण विधि जोड़ने में सक्षम थे, जिससे समझौता किए गए उपयोगकर्ता खातों तक लगातार पहुंच प्रदान की जा सके। वे संदेश और कोड के साथ प्रमाणीकरण ऐप के माध्यम से विधि पसंद करते हैं।

Proofpoint.com पर अधिक

 

---

प्रूफपॉइंट के बारे में

प्रूफपॉइंट, इंक. एक अग्रणी साइबर सुरक्षा कंपनी है। प्रूफपॉइंट का फोकस कर्मचारियों की सुरक्षा है। क्योंकि इनका मतलब किसी कंपनी के लिए सबसे बड़ी पूंजी है, लेकिन सबसे बड़ा जोखिम भी। क्लाउड-आधारित साइबर सुरक्षा समाधानों के एक एकीकृत सूट के साथ, प्रूफपॉइंट दुनिया भर के संगठनों को लक्षित खतरों को रोकने में मदद करता है, उनके डेटा की रक्षा करता है, और एंटरप्राइज़ आईटी उपयोगकर्ताओं को साइबर हमलों के जोखिमों के बारे में शिक्षित करता है।

---

 

विषय से संबंधित लेख