Posted inCyberNews

Sneaky2FA – Browser-in-the-Browser Phishing

Brak komentarzy.
2FA - FIDO - phishing

Phishing zmienia się z roku na rok. Kiedyś opierał się głównie na prostych wiadomościach udających bank lub kuriera czy sklep. Dziś to rozbudowane kampanie, które nie tylko imitują wygląd usług, ale potrafią również przechwycić proces logowania w czasie rzeczywistym. Jednym z najnowszych przykładów jest technika Sneaky2FA analizowana przez Push Security. Jej celem jest przejęcie kont chronionych klasycznym dwuskładnikowym uwierzytelnianiem.

Sneaky2FA udowadnia, że tradycyjne kody 2FA (SMS, aplikacje, e-mail) nie zawsze wystarczają. Atakujący potrafią przekierować użytkownika na stronę wzorowaną na oryginale, przechwycić dane logowania, a następnie natychmiast uzyskać dostęp do konta. Cały proces dzieje się tak szybko i gładko, że ofiara często nie ma pojęcia, że coś poszło nie tak.

Jak działa Sneaky2FA?

Sneaky2FA wykorzystuje reverse proxy. To technika, w której złośliwy serwer „stoi” między użytkownikiem a prawdziwą stroną. Użytkownik wpisuje dane na stronie, która wygląda w 100% jak oryginał, ale w rzeczywistości komunikuje się z nią przez serwer przestępcy.

Mechanizm przebiega w kilku krokach:

  1. Użytkownik otrzymuje fałszywego maila lub SMS kierujący do strony podszywającej się pod Microsoft, Google lub inną popularną usługę.
  2. Strona wygląda jak prawdziwa, bo pobiera na bieżąco elementy interfejsu z oryginalnej usługi.
  3. Użytkownik podaje login i hasło.
  4. Złośliwy serwer wysyła te dane do prawdziwej usługi.
  5. Usługa prosi o kod jednorazowy.
  6. Użytkownik wpisuje kod na stronie phishingowej, nie wiedząc, że trafia on prosto do cyberprzestępcy.
  7. Atakujący natychmiast wykorzystuje kod do zalogowania się na prawdziwe konto.
  8. Ofiara może zostać przekierowana na autentyczny panel, żeby nie wzbudzić podejrzeń.
Użytkownik jest proszony o zalogowanie do konta Microsoft. źródło: pushsecurity.com

Całość działa niemal identycznie jak prawdziwy proces logowania. Nic się nie zacina, formularze wyglądają poprawnie, a komunikaty zgadzają się co do przecinka. Użytkownik ma poczucie, że wszystko przebiega prawidłowo.

Dlaczego Sneaky2FA jest tak skuteczny?

Skuteczność tej metody wynika z trzech elementów: realizmu, szybkości działania i wykorzystania prawdziwego interfejsu.

Browser-In-The-Browser – dodatkowy popup. źródło: pushsecurity.com

Realistyczny wygląd

Zamiast kopiować wygląd stron, twórcy Sneaky2FA pobierają je dynamicznie. Dzięki temu phishingowa strona zawsze wygląda tak jak aktualna wersja logowania Microsoft lub Google. Nie ma starych ikon, przesuniętych przycisków ani błędów w układzie, które mogłyby wzbudzać podejrzenia.

Przechwytywanie sesji w czasie rzeczywistym

Nie ma tu potrzeby zgadywania lub „łamania” kodu 2FA. Użytkownik sam go podaje, a reverse proxy przekazuje go dalej, umożliwiając cyberprzestępcy natychmiastowe zalogowanie się. To sprawia, że ochrona oparta na kodach jednorazowych traci swoją skuteczność.

Brak niepokojących przekierowań

Wiele klasycznych stron phishingowych zdradza się dziwnymi adresami URL lub podejrzanymi nazwami domen. Sneaky2FA radzi sobie lepiej. Może używać neutralnych domen i przekierować użytkownika na oryginalny panel po zakończonym „logowaniu”. Użytkownik zakłada, że wszystko działa jak zawsze.

Jak wygląda infrastruktura kampanii?

Push Security podaje, że twórcy Sneaky2FA nie działają chaotycznie. Cała kampania została przygotowana profesjonalnie:

  • wykorzystywane są liczne domeny, które szybko rotują,
  • duża część stron działa tylko przez krótki czas, by utrudnić wykrycie,
  • struktura plików na serwerach jest powtarzalna i dobrze zorganizowana,
  • zmiany są wprowadzane regularnie, a nowe warianty pojawiają się co kilka dni.

Wskazuje to na stały rozwój narzędzia, a nie jednorazowy atak.

Kogo atakują twórcy Sneaky2FA?

Dotychczasowe obserwacje sugerują, że ataki są wymierzone głównie w:

  • użytkowników Microsoft 365,
  • pracowników korzystających z Google Workspace,
  • firmy wykorzystujące logowanie SSO,
  • organizacje, w których 2FA jest wymagane, ale działa w formie kodów jednorazowych.

Nie ma jednego sektora, który byłby priorytetem, choć przeważają organizacje wykorzystujące chmurowe narzędzia biurowe. Atak idealnie nadaje się do wyłudzenia dostępu do skrzynek e-mail, OneDrive, dokumentów czy aplikacji SaaS, które przechowują dane operacyjne firm.

Dlaczego zwykłe 2FA nie wystarcza?

Kody 2FA stały się problematyczne, ponieważ:

  • są krótkotrwałe, ale reverse proxy wykorzystuje je natychmiast,
  • nie weryfikują domeny, na której użytkownik wpisuje kod,
  • są przekazywane przez użytkownika ręcznie — więc można je przechwycić.

To powoduje, że każda metoda generująca kody (SMS, Google Authenticator, Authy, e-mail) może zostać ominięta.

Jakie metody działają lepiej?

Istnieją rozwiązania, które znacząco utrudniają taki atak. Należą do nich:

Passkeys i FIDO2

Te metody nie bazują na wpisywaniu kodów. Użytkownik zatwierdza logowanie kluczem sprzętowym lub biometrią. To proces, który weryfikuje, czy użytkownik naprawdę komunikuje się z właściwą domeną. Reverse proxy nie potrafi tego obejść.

Klucze U2F i YubiKey

Zabezpieczenia sprzętowe wymagają kryptograficznego potwierdzenia domeny. Fałszywe strony nie przechodzą tej weryfikacji.

Zaufane urządzenia z wbudowaną weryfikacją

Platformy Apple, Android oraz Windows wdrażają coraz więcej metod, które również potwierdzają domenę przed autoryzacją.

Jak rozpoznać atak Sneaky2FA?

Nie zawsze jest to proste, ale można zwrócić uwagę na:

  • nietypowy adres URL, nawet jeśli strona wygląda poprawnie,
  • nagłe prośby o logowanie mimo, że sesja była aktywna,
  • wiadomości SMS lub e-maile z pilnymi prośbami o potwierdzenie tożsamości,
  • sytuacje, w których logowanie prosi o 2FA kilka razy pod rząd.

W firmach dobrą praktyką jest też regularne sprawdzanie logów, np. logowań z nietypowych lokalizacji albo krótkiego odstępu między logowaniem pracownika i potencjalnego atakującego.

Jak organizacje mogą utrudnić działanie Sneaky2FA?

Najskuteczniejsze działania to:

  • przejście na metody oparte o klucze FIDO2 lub passkeys,
  • logowanie do systemów kluczem sprzętowym FIDO,
  • egzekwowanie korzystania z firmowych urządzeń i managerów tożsamości,
  • blokowanie logowań z nowych lokalizacji, dopóki użytkownik nie potwierdzi ich w dedykowanej aplikacji,
  • stosowanie reguł, które analizują anomalie w zachowaniu użytkowników,
  • edukacja pracowników dotycząca wyglądu prawdziwych domen logowania.

Czy Sneaky2FA można łatwo zatrzymać?

Technicznie – nie. To nie jest wada konkretnego systemu, ale ogólny problem dotyczący wszystkich metod 2FA opartych na kodach jednorazowych. Dopóki użytkownik ręcznie wpisuje kod, dopóty można go przechwycić. Dlatego tak ważna jest zmiana podejścia do uwierzytelniania. Klucze sprzętowe i passkeys stopniowo stają się standardem właśnie po to, aby wyeliminować ataki tego typu. Firmy i użytkownicy indywidualni powinni zacząć traktować metody takie jak passkeys i FIDO2 jako podstawowy sposób logowania, szczególnie tam, gdzie przechowywane są ważne dane.

Źródła
Tags:

Komentarze

Nie ma jeszcze komentarzy. Może zaczniesz dyskusję?

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *