אתר bleepingcomputer.com מדווח על פלטפורמת Phishing-as-a-Service (PaaS / דיוג / פישינג כשירות) עם פרוקסי הפוך בשם EvilProxy אשר מתיימרת לגנוב אסימוני אימות כדי לעקוף אימות רב גורמי (MFA) באפל, גוגל, פייסבוק, מיקרוסופט, טוויטר, GitHub, GoDaddy ואפילו PyPI. הפלטפורמה מאפשרת להאקרים בעלי מיומנות נמוכה שאינם יודעים כיצד להגדיר פרוקסי הפוך, לגנוב חשבונות מקוונים מוגנים.
פרוקסי הפוך הינם שרתים הממוקמים בין הקורבן לבין נקודת קצה לגיטימית של אימות, כגון טופס התחברות של חברה. כאשר הקורבן מתחבר לדף פישינג, הפרוקסי ההפוך מציג את טופס הכניסה הלגיטימי, מעביר בקשות ומחזיר תגובות מאתר החברה. כאשר הקורבן מזין את האישורים ואת האימות הרב גורמי שלו לעמוד הדיוג, הוא מועבר לשרת הפלטפורמה בפועל, שם המשתמש מחובר ואז מוחזר קובץ Cookie של ההפעלה. כאשר הפרוקסי של ההאקר ממוקם באמצע, הוא יכול גם לגנוב את קובץ ה- cookie של הפגישה המכילה את אסימון האימות. לאחר מכן, ההאקרי יכול להשתמש בעוגיית אימות זו כדי להיכנס לאתר כמשתמש, תוך עקיפת הגנות אימות רב גורמי.
קבוצות האקרים מתוחכמות משתמשות בפרוקסי הפוך כבר זמן מה כדי לעקוף הגנות אימות רב גורמי של חשבונות יעד. חלקן משתמשות בכלים מותאמים אישית משלהן בעוד שאחרות משתמשות בערכות ניתנות לפריסה כמו Modlishka, Necrobrowser ו- Evilginx2. ההבדל בין מערכות הדיוג הללו לבין EvilProxy הוא שהאחרון הרבה יותר פשוט לפריסה, מציע סרטוני הדרכה ומדריכים מפורטים, ממשק גרפי ידידותי למשתמש ומבחר עשיר של דפי דיוג משובטים עבור שירותי אינטרנט פופולריים. השירות מבטיח לגנוב שמות משתמש, סיסמאות ועוגיות הפעלה בעלות של 150$ לעשרה ימים, 250$ ל- 20 ימים, או 400$ לקמפיין של חודש. התקפות נגד חשבונות גוגל עולות יותר. בעוד שהשירות מקודם באופן פעיל בפורומים שונים של האקינג באינטרנט וברשת האפלה, מפעילי השירות בודקים את הלקוחות כך שסביר להניח שחלק מהקונים הפוטנציאליים נדחים. לפי Resecurity, התשלום עבור השירות מוסדר בטלגרם, כאשר לאחר ביצוע ההפקדה, הלקוח מקבל גישה לפורטל המאוחסן ברשת TOR. בדיקת הפלטפורמה של Resecurity אישרה כי EvilProxy מציעה גם הגנה מפני VM, אנטי אנליזה ואנטי בוט כדי לסנן מבקרים לא חוקיים או לא רצויים באתרי הדיוג המאוחסנים בפלטפורמה.
ככל שהשימוש באימות רב גורמי ממשיך לגדול, יותר האקרים פונים לכלים של פרוקסי הפוך וההופעה של פלטפורמות שירות עבורם אינה חדשות טובות עבור אנשי אבטחה ומנהלי רשת. לעת עתה, בעיה זו ניתנת לטיפול רק על ידי הטמעת טביעת אצבע של TLS בצד הלקוח כדי לזהות ולסנן בקשות 'אדם באמצע'. עם זאת, הסטטוס של יישום זה בתעשייה אינו מסונכרן עם ההתפתחויות העדכניות. לפיכך, פלטפורמות כמו EvilProxy בעצם מגשרות על פער המיומנויות ומציעות להאקרים ברמה נמוכה דרך חסכונית לגנוב חשבונות יקרי ערך.
מכיוון שמתקפות פישינג נעשו כל כך מתוחכמות, חייבים ארגונים בכל סדר גודל להשקיע במודעות העובדים ולהפוך אותם לקו ההגנה הראשון של הארגון. לחצו כאן לצפיה בסרטוני הדרכה בנושאי אבטחת מידע ומניעת איומי סייבר בשיתוף 010 וחברת Wizer.
