Nuova campagna di phishing acquistabile come “servizio” consente ai criminali informatici di aggirare la sicurezza a 2 fattori
Un nuovo attacco di phishing-as-a-service (PhaaS) soprannominato EvilProxy è stato rilevato nel darkweb con potenzialità avanzate che permettono di aggirare le protezioni di autenticazione a due fattori (2FA).
Le nuove tecniche utilizzate (reverse proxy e cookie injection) permetterebbero infatti di aggirare l’autenticazione 2FA, intercettando la sessione della vittima: gli utenti interagiscono inconsapevolmente con un server proxy malevolo che funge da intermediario per il sito Web di destinazione, raccogliendo segretamente le credenziali e i passcode 2FA inseriti nelle pagine di accesso.
Il servizio malevolo del mercato nero genera collegamenti di phishing che non sono altro che pagine clonate progettate per compromettere gli account utente associati a Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo, Yandex e altri.
Il servizio di attacco (comprensivo di kit) viene offerto in abbonamento per 400 dollari al mese. Il mandante accede al servizio tramite la rete di anonimato TOR (darkweb) dopo che il pagamento è stato organizzato manualmente con un operatore su Telegram. Gli attacchi contro gli account Google invece costano fino a 600 dollari al mese.
Ancora una volta si evidenzia come sia facile accedere a servizi di attacco economici, scalabili, anonimi e senza la necessità di possedere competenze tecniche.