Kaspersky a descoperit o nouă tactică de phishing utilizată pentru a evita controalele tradiționale de Securitate. Noua tactică exploatează Bubble, o platformă ce permite utilizatorilor să creeze aplicații web și mobile printr-o interfață vizuală, fără a scrie cod. Mai nou, infractorii cibernetici adoptă tot mai frecvent instrumente inovatoare destinate dezvoltării legitime de software și le reutilizează pentru a-și amplifica campaniile de phishing.
Atacurile de phishing tradiționale se bazează adesea pe link-uri malițioase sau pe tehnici evidente de redirecționare, care sunt de obicei detectate și blocate de sistemele moderne de securitate. Totuși, atacatorii folosesc acum mediul no-code oferit de Bubble pentru a genera aplicații web intermediare, găzduite pe infrastructura legitimă a platformei și pe domenii de încredere precum *.bubble.io, ceea ce le crește credibilitatea și îi ajută să ocolească filtrele de securitate. Aceste aplicații funcționează ca redirecționări mascate, aducând discret victimele pe site-uri malițioase, care le colectează informațiile personale.
În campania analizată, victimele erau redirecționate în final către o imitație convingătoare a unei pagini de autentificare Microsoft, protejată de un layer de verificare Cloudflare, menit să ascundă și mai bine intenția malițioasă.
Un formular fals pentru colectarea datelor corporative
Această tehnică este probabil integrată în platforme mai ample, de tip phishing-as-a-service (PhaaS) și în kituri de phishing. Acestea oferă o gamă largă de capabilități malițioase prin instrumente gata de utilizare, inclusiv interceptarea în timp real a cookie-urilor, desfășurarea campaniilor de phishing prin servicii legitime precum Google Tasks și Google Forms și realizarea de atacuri de tip adversary-in-the-middle (AiTM), capabile să ocolească autentificarea multifactor. De asemenea, aceste kituri permit generarea de e-mailuri de phishing cu ajutorul AI, implementează mecanisme de geo-filtrare și anti-detectare pentru a evita sistemele de securitate și sunt adesea găzduite pe servicii cloud de încredere, precum AWS, pentru a evita blocarea.
Pentru a rămâne protejați, Kaspersky recomandă:
- Instruiți angajații astfel încât să înțeleagă că datele de autentificare corporative trebuie introduse doar pe platforme oficiale, verificate.
- Implementați soluții de securitate complexe pentru a bloca accesul către destinații de phishing cunoscute sau suspecte.
- Utilizați tehnologii avansate anti-phishing la nivelul gateway-ului de e-mail pentru a reduce expunerea la mesaje malițioase.
- Rămâneți la curent cu tehnicile în evoluție ale atacatorilor și integrați informațiile despre amenințări în operațiunile de securitate.
