Posted inCyberBezpieczeństwo

Jak współczesne narzędzia przejmują konta i omijają uwierzytelnianie wieloskładnikowe

Brak komentarzy.
Obejście MFA kod SMS

Jakiś czas temu opisywałem na blogu jak obejść klasyczne MFA w postaci kodów jednorazowych. Dzisiaj przedstawiam wpis, gdzie jedna z ostatnich analiza zespołu ThreatLabz z Zscaler ujawnia, jak zaawansowany stał się ten typ ataku dzięki zestawom narzędzi phishingowych, takim jak BlackForce. Ten kit nie tylko udaje autentyczne strony logowania, ale potrafi także omijać wieloskładnikowe uwierzytelnianie (MFA) i wykradać jednorazowe kody w czasie rzeczywistym.

Poniższy artykuł opisuje mechanizmy działania BlackForce, dlaczego jest tak groźny, jakie są konsekwencje dla użytkowników i firm, oraz jak minimalizować ryzyko związane z phishingiem na takim poziomie.

Jak działa BlackForce i jak oszukuje użytkowników

BlackForce to zestaw phishingowy, który pojawił się w sierpniu 2025 roku i od tego czasu jest aktywnie rozwijany. Sprzedawany jest jako narzędzie „phishing-as-a-service” na kanałach komunikacji takich jak Telegram, co ułatwia jego użycie nawet mniej zaawansowanym przestępcom.

Atak typowo zaczyna się od kliknięcia w link, który prowadzi ofiarę na stronę wyglądającą jak autentyczna strona usługi – często imitujące popularne marki. Po wejściu na stronę następuje weryfikacja, która ma upewnić, że odwiedzający to człowiek, a nie narzędzie analityczne lub bot. Następnie strona prosi o wpisanie loginu i hasła.

Z kluczowych cech, które wyróżniają BlackForce, jest możliwość przeprowadzenia ataku typu Man-in-the-Browser (MitB), co oznacza, że element phishingowy działa wewnątrz sesji przeglądarki użytkownika. Po wpisaniu danych logowania atakujący otrzymuje je natychmiast poprzez panel sterowania zestawu, a następnie próbuje zalogować się do realnej strony ofiary.

Łańcuch ataku. Źródło: zscaler.com

Omijanie MFA – to, co czyni BlackForce wyjątkowo groźnym

MFA miało zwiększyć bezpieczeństwo kont poprzez dodatkowy kod jednorazowy (np. SMS, aplikacja autoryzująca). Jednak BlackForce potrafi obejść ten mechanizm, wykorzystując dynamiczne techniki phishingowe. Gdy atakujący próbuje zalogować się na prawdziwą stronę przy użyciu skradzionych poświadczeń, system docelowy generuje prośbę o kod MFA. Zamiast tego zestaw phishingowy przez panel sterowania wstrzykuje fałszywą stronę MFA w przeglądarce ofiary.  

W efekcie użytkownik, przekonany że wpisuje kod do prawdziwej witryny, de facto podaje go oszustowi, który natychmiast używa go do autoryzacji na prawdziwym serwerze. Ten mechanizm bypassowania MFA sprawia, że nawet konta z silnym uwierzytelnianiem są podatne na przejęcie.

Czy zatem MFA jest przereklamowane?

Oczywiście, że NIE! MFA w postaci kodu z SMS czy aplikacji to nadal lepsze zabezpieczenie niż żadne. Trzeba jednak pamiętać, że MFA może być lepsze lub „gorsze”. Obecnie, jedyne MFA gwarantujące pełną odporność na phishing to MFA oparte na protokole FIDO lub FIDO2. To co wyróżnia protokół FIDO i passkeys, które w ramach protokołu są używane to przywiązanie poświadczenia do konkretnej witryny. Jeśli więc użytkownik będzie próbował zalogować się na podstawionej witrynie – protokół odrzuci takie logowanie. Passkeys można używać na telefonie ale również na kluczu sprzętowym – np. Yubikey.

Ewolucja BlackForce i techniki unikania wykrycia

BlackForce nie jest statycznym narzędziem. Od wersji 3 do najnowszej wersji 5 udoskonalał swoje mechanizmy, by stać się bardziej wyrafinowanym. W najnowszych wersjach:

  • część logiki ataku została przeniesiona na serwer backend, co utrudnia analizę kodu,
  • mechanizmy filtrujące blokują dostęp robotom, crawlerom i narzędziom bezpieczeństwa poprzez analizę nagłówków User-Agent i bloklisty adresów oraz krajów,
  • atak utrzymuje sesję w pamięci przeglądarki, co pozwala na „pamiętanie” wpisanych danych podczas całej sekwencji ataku.

Dodatkowo, kod zawarty w phishingowych stronach wygląda jak standardowe aplikacje webowe oparte na nowoczesnych frameworkach, co utrudnia automatyczne wykrycie potencjalnego zagrożenia przez systemy analizujące ruch.

Panel sterowania BlackForce. Źródło: zscaler.com

Skutki dla zwykłych użytkowników

Dla indywidualnej osoby konsekwencje wejścia na stronę zainfekowaną BlackForce mogą wyglądać na typowe konsekwencje phishingu – utrata konta, kradzież tożsamości czy finansowe straty. Jednak tu atak jest bardziej zaawansowany, ponieważ potrafi przechwycić nie tylko login i hasło, ale także kod MFA, co daje pełny dostęp do konta.

Co więcej, użytkownik zostaje zazwyczaj przekierowany na właściwą stronę po wprowadzeniu danych, więc może nawet nie wiedzieć, że padł ofiarą oszustwa. To mechaniczne ukrycie ataku utrudnia zauważenie naruszenia własnego konta i szybką reakcję.

Ryzyka dla firm i MŚP

W kontekście organizacyjnym phishing z użyciem narzędzi takich jak BlackForce może otworzyć atakującym drzwi do zasobów firmowych. Przejęte konto pracownika może posłużyć jako punkt wejścia do systemów wewnętrznych, umożliwić dalsze eskalacje uprawnień, dostęp do e-maili, systemów chmurowych czy usług biznesowych.

Ataki obchodzące MFA są szczególnie groźne, bo firmy często myślą, że samo wdrożenie MFA wystarcza jako ochrona kont. Tymczasem BlackForce pokazuje praktycznie, że sam kod jednorazowy może być przechwycony i wykorzystany na miejscu, jeśli użytkownik nie rozpozna oszustwa.  

Jak ograniczyć ryzyko phishingu

Skuteczne zabezpieczenie przed phishingiem na poziomie BlackForce wymaga wielowarstwowego podejścia:

Edukacja użytkowników
Regularne szkolenia i praktyczne symulacje phishingowe pomagają zwiększyć świadomość sygnałów ostrzegawczych, takich jak podejrzane adresy URL czy prośby o dane uwierzytelniające.

Weryfikacja adresów i domen
Narzędzia do filtrowania i blokowania znanych domen phishingowych pomagają ograniczyć ryzyko trafienia na fałszywe witryny.

Używanie MFA odpornego na phishing
Klucze sprzętowe FIDO np. Yubikey lub passkeys zapisane na komputerze czy telefonie skutecznie chronią przed tego typu atakami.

Zaawansowane analizy ruchu
Monitoring ruchu sieciowego i alertowanie o nietypowych próbach logowania (szczególnie w różnych lokalizacjach lub nagłych zmianach geograficznych) pozwala wychwycić ataki zanim nastąpi pełne przejęcie konta.

Wieloetapowe kontrole tożsamości
MFA pozostaje ważna, ale warto rozważyć dodatkowe mechanizmy ochrony, np. detekcję anomalii w sesjach logowania, ograniczenie dostępu ze znanych urządzeń i automaticzne blokady po podejrzanej aktywności.

Podsumowanie

BlackForce reprezentuje nowy poziom zagrożeń phishingowych: kit, który nie tylko podszywa się pod autentyczne strony, ale potrafi przechwytywać jednorazowe kody MFA i omijać dodatkowe zabezpieczenia. Rośnie znaczenie zrozumienia tych narzędzi, bo ataki, które kiedyś wymagały dużych umiejętności technicznych, dziś są oferowane jako usługa i dostępne dla szerokiego grona przestępców.

Skuteczne ograniczanie ryzyka wymaga uwagi nie tylko technologicznej, ale także edukacji i praktyk bezpieczeństwa, które sprawdzają się wobec takich, jak i innych zaawansowanych phishing kitów.

Źródła

Jesteś zainteresowany wdrożeniem solidnego MFA w swojej firmie?

Możesz omówić to z zespołem Cloudcomp.pl. Za darmo.

Bez zobowiązań.

Porozmawiajmy

Tags:

Komentarze

Nie ma jeszcze komentarzy. Może zaczniesz dyskusję?

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *