Otkriveni Phishing Napadi Korištenjem Blob URI Tehnike
Uvod u Problem Phishinga
Sigurnosni istraživači nedavno su otkrili novu vrstu phishing kampanja koje koriste rijetko iskorištavanu tehniku za krađu prijavnih podataka, čak i kada su ti podaci zaštićeni enkripcijom. Novije istraživanje tvrtke Cofense upozorava na to da se ova metoda oslanja na blob URI-e, funkciju preglednika koja je osmišljena za prikazivanje privremenog lokalnog sadržaja. Nažalost, cyberkriminalci su počeli zloupotrebljavati ovu značajku kako bi isporučili phishing stranice.
Kako Funkcionira Blob URI Tehnika?
Blob URI-e kreira i pristupa isključivo unutar korisnikovog preglednika, što znači da phishing sadržaj nikada ne postoji na poslužiteljima koji su javno dostupni. Ova činjenica otežava čak i najnaprednijim sustavima zaštite od zloćudnog softvera da otkriju takve prijetnje.
U ovim kampanjama, phishing proces započinje e-mailom koji lako prolazi kroz Sigurne Email Gateway-e (SEG). Takvi e-mailovi obično sadrže vezu na stranicu koja izgleda legitimno, često smještenu na pouzdanim domenama poput Microsoftovog OneDrivea. Međutim, ta početna stranica ne hosta izravno phishing sadržaj. Umjesto toga, djeluje kao posrednik, tiho učitavajući HTML datoteku koju kontrolira napadač, koja se dekodira u blob URI.
Prvi Koraci Napada
Rezultat je lažna prijavna stranica prikazana unutar preglednika žrtve, stvorena da pomalo nalikuje Microsoftovom portalu za prijavu. Žrtva ne primjećuje ništa čudno – nema sumnjivih URL-ova ili očitih znakova prijevare – samo poruku da se prijavi radi pregleda sigurnih poruka ili pristupa dokumentima. Kada kliknu na ‘Prijavi se’, stranica preusmjerava na drugu HTML datoteku pod kontrolom napadača, koja generira lokalni blob URI koji prikazuje lažnu prijavnu stranicu.
Budući da blob URI-e djeluju potpuno unutar memorije preglednika i nisu dostupni izvan sesije, tradicionalni sigurnosni alati nemaju mogućnosti za skeniranje ili blokiranje takvog sadržaja.
Izazovi u Otkriću i Analizi
„Ova metoda čini otkrivanje i analizu posebno teškim“, rekao je Jacob Malimban iz Cofense Intelligence Tima. „Phishing stranica se stvara i renderira lokalno koristeći blob URI. Nije hostana na internetu, pa se ne može skenirati ili blokirati na uobičajen način.“
Podaci koje žrtva unese na lažnoj stranici tiho se šalju na udaljeni poslužitelj napadača, ostavljajući žrtvu nesvjesnom. Čak i AI alati za sigurnost imaju poteškoća u prepoznavanju ovih napada, jer se blob URI-e rijetko koriste u zloćudne svrhe i možda nisu dobro zastupljeni u podacima za obuku.
Kako Se Obraniti od Ovih Napada?
Istraživači upozoravaju da, ako se metode otkrivanja ne razviju, ova tehnika bi mogla postati popularna među napadačima. Kako bi se zaštitili od ovakvih prijetnji, organizacijama se savjetuje da usvoje napredne Firewall-as-a-Service (FWAAS) i Zero Trust Network Access (ZTNA) rješenja koja mogu pomoći u osiguravanju pristupa i označavanju sumnjivih aktivnosti prijave.
Zaključak
Phishing napadi postaju sve sofisticiraniji, a tehnike poput blob URI-a predstavljaju značajan izazov za sigurnost. Proaktivno unapređenje zaštitnih mjera može značajno smanjiti rizik od ovakvih zlonamjernih aktivnosti. Educiranje korisnika o ovim prijetnjama ključno je za održavanje sigurnosti digitalnog prostora.
