Массовая фишинговая атака на компании и госорганы: хакеры обходят многофакторную защиту через конструктор сайтов

phishing

В Словакии зафиксирована масштабная фишинговая кампания, нацеленная в первую очередь на частные компании и государственные учреждения. Злоумышленники рассылают письма якобы от системного администратора с требованием срочно продлить пароль к почтовому ящику. Подлинная опасность атаки в том, что для создания поддельных страниц хакеры используют легитимную платформу Sofr, которая позволяет обойти многие корпоративные фильтры, а современные механизмы многофакторной аутентификации (MFA) нейтрализуются техникой "злоумышленника посередине" (AitM). Инцидент затрагивает тысячи организаций, и его последствия могут быть крайне серьёзными - от утечки корпоративной переписки до компрометации целых инфраструктур.

Описание

Как сообщает Национальный центр кибербезопасности Словакии (NCKB), волна писем началась в середине месяца. Тема сообщения всегда одинакова: "POZOR: Vypršanie Hesla Dnes" (в переводе со словацкого - "ВНИМАНИЕ: Истечение Пароля Сегодня"). Имя отправителя - "Systémový administrátor". Язык письма подчёркнуто официальный, но стиль изложения сбивает с толку: злоумышленники в одном абзаце одновременно сообщают, что пароль устарел, и предлагают оставить его без изменений. Это явное противоречие политике регулярной смены паролей, но именно такой манёвр призван снизить бдительность жертвы.

В конце письма расположена кнопка с надписью "✅ Ponechajte si existujúce heslo" ("✅ Оставьте существующий пароль"). При нажатии пользователь перенаправляется на страницу, которая внешне копирует окно аутентификации корпоративной почты. Надпись на ней гласит: "SPRÁVCA SYSTÉMU" ("СИСТЕМНЫЙ АДМИНИСТРАТОР"). После ввода логина и пароля данные мгновенно уходят злоумышленнику.

Национальный центр кибербезопасности сообщил о двух ключевых технических особенностях кампании, которые делают её особенно опасной. Первая: письма рассылаются с легитимных, но предварительно взломанных адресов. Это означает, что корпоративные антиспам-системы, основанные на репутации домена, не могут отсеять такие сообщения. Вторая: для размещения фишингового контента используется платформа Sofr - сервис для быстрого создания веб-приложений без необходимости писать код. По данным экспертов, Sofr активно эксплуатируется злоумышленниками с мая 2023 года.

Использование подобных no-code платформ даёт хакерам целый ряд преимуществ. Во-первых, это скорость разработки: вредоносную страницу можно собрать за считаные минуты. Во-вторых, платформа автоматически генерирует TLS-сертификаты, обеспечивая шифрование трафика. В-третьих, контент хостится на инфраструктуре Sofr, а загрузка ускоряется благодаря сети доставки данных (CDN). Домены вида subdomain.softr.app по умолчанию считаются безопасными - большинство корпоративных сетей не блокируют их, так как they are не включены в списки неблагонадёжных ресурсов. Фильтрация URL на основе репутации в данном случае бесполезна.

Но главная угроза скрывается даже не в этом. Современные фишинговые инструменты, которые применяются в этой кампании, способны обойти многофакторную аутентификацию. Механизм работы такой: жертва переходит по ссылке, и злоумышленник в реальном времени получает уведомление. Он наблюдает за всей сессией ввода данных. Пользователь сначала вводит пароль, а затем, если на его учётной записи включена MFA, вводит одноразовый код. В этот же миг хакер получает и пароль, и код и немедленно использует их для входа в настоящий почтовый сервис. Таким образом злоумышленник получает действительную сессионную cookie (файл, подтверждающий авторизацию) и полный доступ к учётной записи, несмотря на успешно пройденный второй фактор.

Последствия компрометации почтового ящика в корпоративной среде катастрофичны. Через электронную почту злоумышленник может получить доступ к конфиденциальной переписке, инвойсам, документам, а также использовать взломанный аккаунт для дальнейших целевых атак на коллег и партнёров. В государственных учреждениях такой доступ способен привести к утечкам служебной информации и нарушению работы критических систем.

Эксперты NCKB рекомендуют компаниям и гражданам немедленно усилить бдительность. Основное правило: никогда не переходить по ссылкам из подобных писем. Любые действия с паролем - изменение, продление - следует выполнять только через интерфейс самого почтового клиента или веб-приложения, заходя на сайт по адресу, который вы вводите вручную. Второе: критически важно активировать многофакторную аутентификацию везде, где это возможно - хотя в этой кампании она частично нейтрализуется, она всё же остаётся серьёзным барьером для многих других атак. Третье: при малейшем подозрении на фишинг необходимо немедленно известить IT-отдел. Если вы уже ввели данные на фальшивой странице, нужно как можно быстрее сменить пароль, выйти из всех активных сессий через настройки учётной записи и проверить отсутствие посторонних правил пересылки писем.

Текущая кампания - ещё одно напоминание о том, что технологии защиты развиваются, но и методы атак не стоят на месте. Злоумышленники активно осваивают легитимные инструменты и обходят даже самые современные средства защиты, такие как MFA. Единственный способ снизить риски - формировать у сотрудников культуру кибербезопасности и регулярно проводить тренинги по распознаванию социальной инженерии. Только сочетание технических мер и человеческой осмотрительности может дать реальную защиту от таких атак.

Индикаторы компрометации

URLs

  • https://brendan67981.softr.app
  • https://dewayne33096.softr.app
  • https://dorla77172.softr.app
  • https://fidel9894.softr.app
  • https://norris30013.softr.app
  • https://sydney92492.softr.app
  • https://thepublicplanet.com/outbound?url=//dorla77172.softr.app

Комментарии: 0