A Google bejelentette, hogy elkezdte egy új funkció, a Device Bound Session Credentials (DBSC) tesztelését a Chrome böngészőben. Ennek célja a malware által végrehajtott session cookie lopás elleni védelem nyújtása a felhasználóknak.
Ez a prototípus, amely jelenleg néhány Google-fiókot használó Chrome Beta felhasználó körében zajlik, azzal a szándékkal jött létre, hogy nyílt webes szabvánnyá váljon, mondta a tech óriás Chromium csapat.
“Az autentikációs munkamenetek eszközhöz kötésével a DBSC célja az, hogy megnehezítse a cookie lopásra specializálódott tevékenységeket, mivel így a sütik kiszivárogtatása nem lesz hasznos,” tette hozzá a vállalat.
“Úgy vélem, hogy ez jelentősen csökkenteni fogja a cookie lopásra specializálódott malware sikerességi arányát. A támadóknak ebben az esetben az adott eszközön kellene cselekedniük, ami hatékonyabbá teszi az észlelést és a tisztítást, mind az antivírus szoftverek, mind a vállalati kezelés alatt álló eszközök esetében.”
Ez a fejlesztés azon jelentések nyomán jött létre, amelyek szerint a pénzért megvásárolható információlopó malware-ek új módszereket találnak a sütik lopására oly módon, hogy lehetővé teszik a fenyegetés színészei számára a többtényezős hitelesítés (MFA) védelem megkerülését és a jogosulatlan hozzáférést az online fiókokhoz.
Munkamenet-eltérítési technikák nem számítanak újdonságnak. 2021 októberében a Google Threat Analysis Group (TAG) részletezett egy phishing kampányt, mely YouTube tartalomkészítőket célzott cookie lopó malware-rel, hogy eltérítse fiókjaikat és monetizálja a hozzáférést kriptovaluta csalások elkövetésére.
Idén januárban a CloudSEK felfedte, hogy információlopók, többek között a Lumma, Rhadamanthys, Stealc, Meduza, RisePro és WhiteSnake, frissítették képességeiket a felhasználói munkamenetek eltérítésére és a Google szolgáltatásokhoz való folyamatos hozzáférés lehetővé tételére még jelszóváltoztatás után is.
A Google a Hacker Newsnak mondta, hogy “a cookie-kat és tokeneket lopó malware-ekkel kapcsolatos támadások nem újak; rendszeresen frissítjük védelmeinket ezekkel a technikákkal szemben és hogy megvédjük azokat a felhasználókat, akik malware áldozataivá válnak.”
Továbbá azt javasolta a felhasználóknak, hogy engedélyezzék a Bővített Biztonságos Böngészést a Chrome webböngészőben a phishing és malware letöltések elleni védelem érdekében.
A DBSC célja, hogy csökkentse ezeket a rosszindulatú tevékenységeket egy olyan kriptográfiai megközelítéssel, amely az eszközhöz köti a munkameneteket, így nehezebbé téve az ellenségek számára a lopott sütikkel történő fiókeltérítést.
Tanácsok digitális csalások elhárítására vonatkozó cikkek gyakran ajánlják a kétlépcsős hitelesítést és a bonyolult jelszavak használatát. Mégis, ezek a megoldások sem garantálják a teljes védelmet a néha ravasz módszerekkel operáló hackerekkel szemben. Egy kis figyelmetlenség elegendő lehet problémákhoz. Ezt támasztja alá egy magyar marketingügynökség egyik dolgozójának kellemetlen tapasztalata. Az érintett személy szoros kapcsolatban állt a G Data nevű, ismert kiberbiztonsági vállalattal. Amikor a baj bekövetkezett, azonnal értesítette őket. A vállalat részletesen kivizsgálta az esetet, és egyik szakértője angolul ismertette az elemzést a G Data honlapján, amely így részletesen dokumentálta az esetet, és rávilágított a Facebook biztonsági hiányosságaira is.
Az átverés
A közösségi média, különösen a Facebook, már régóta kulcsszerepet tölt be a reklámszakmában. A marketingügynökségek rendszeresen használják ezeket a platformokat, gyakran összekapcsolva a hirdetéseiket vállalati bankkártyákkal. Így nem meglepő, hogy adathalászok éppen ezeket a cégeket célozzák meg, ügyfeleknek álcázva magukat.
Nyáron a csalók egy magyar ügynökséget is célba vettek, több létező ruhamárka nevében jelentkezve. Kommunikációs kampányhoz keresnek partnerként egy valódi ügynökséget, és információs anyagokat küldtek, részben e-mailben, részben az ügynökség online felületén keresztül. A gyanús jel az volt, hogy a céges domain nem szerepelt a levelezésben. Például az “O My Bag” nevű holland táskagyártó nevében érkező megkeresés nem a cég hivatalos címéről, hanem egy Gmail-es fiókról jött, és az anyagokat a OneDrive-ra töltötték fel. Mivel ezek ismert és gyakran használt szolgáltatások, az ügynökségi munkatárs nem gyanakodott.
A gyanút kiváltó jelenségek ellenére a csalók hitelesnek tűnő levelet küldtek, és a OneDrive-ra feltöltött, Zip formátumú fájlok pontosan azt tartalmazták, amit egy potenciális ügyfél küldene egy ügynökségnek. A legtöbb víruskereső program a .zip fájlok kicsomagolásakor figyeli a kártékony szoftverek jelenlétét, azonban a jelszóval védett állományok esetében ezek a programok hatástalanok. A csalók pont ilyen fájlt küldtek, amely 11-ből 10 ártalmatlan médiafájlt és egy .scr kiterjesztésű malware-t tartalmazott. Az ügynökségi munkatárs rákattintott a fájlra, amelynek látszólag semmi hatása nem volt, ám a háttérben a kártevő már aktiválódott.
A betörés
A malware első lépése egy indítófájl létrehozása volt a Windows rendszerben, hogy minden rendszerindításkor aktiválódjon. A kártevő a böngészőben tárolt session tokenekre összpontosított, amelyek lehetővé tették számára a Facebookra és más közösségi oldalakhoz való hozzáférést. Ezenkívül az ügynökségi dolgozó minden böngészőműveletét megfigyelte, beleértve a Facebookra való bejelentkezést is.
Amint a csalók hozzájutottak a munkatárs Facebook-fiókjának adataihoz, megszerezték a hirdetéskezelési felület hozzáférési jogosultságait is. A legtöbb marketingügynökségnél, ahogy ebben az esetben is, a Facebook-fiókhoz társított bankkártyák adatai és egyéb érzékeny információk is hozzáférhetővé váltak. Az adathalászok így saját, illegális hirdetéseket indíthattak a magyar ügynökség fiókjából, anélkül, hogy az ügynökség vagy a Facebook észrevette volna. Ez több ezer eurós kárt okozott, mivel a Facebook automatikusan felszámította az ügynökséghez társított bankkártya költségeit.
A megoldás
A G Data szakértője szerint a legfontosabb óvintézkedés az alapos figyelem és a kritikus gondolkodás. A kétlépcsős hitelesítés valóban segíthet a bejelentkezési adatok illegális felhasználásának megakadályozásában, de ha a felhasználó már egy malware által fertőzött gépet használ, akkor ez sem jelent teljes biztonságot. A jelszavas fájlok kicsomagolásánál mindig legyünk óvatosak, különösen, ha nem ismerjük azok eredetét. A legjobb védekezés a gyanús e-mailek és fájlok azonnali törlése, valamint egy megbízható víruskereső program használata.
A következmények
A magyar marketingügynökség esete nem egyedi. Az internetes csalások száma világszerte növekszik, különösen a távmunka és a digitális kommunikáció terjedése miatt. A vállalatok és az egyének egyaránt célpontok lehetnek. A legjobb védelem a folyamatos tájékozódás, az óvatosság és a modern kiberbiztonsági megoldások alkalmazása. Minden internetezőnek tudatában kell lennie annak, hogy a digitális világban semmi sem biztonságos, és mindig ébernek kell lennie az új fenyegetésekkel szemben.
Forrás: telex.hu
Tanácsok digitális csalások elhárítására vonatkozó cikkek gyakran ajánlják a kétlépcsős hitelesítést és a bonyolult jelszavak használatát. Mégis, ezek a megoldások sem garantálják a teljes védelmet a néha ravasz módszerekkel operáló hackerekkel szemben. Egy kis figyelmetlenség elegendő lehet problémákhoz. Ezt támasztja alá egy magyar marketingügynökség egyik dolgozójának kellemetlen tapasztalata. Az érintett személy szoros kapcsolatban állt a G Data nevű, ismert kiberbiztonsági vállalattal. Amikor a baj bekövetkezett, azonnal értesítette őket. A vállalat részletesen kivizsgálta az esetet, és egyik szakértője angolul ismertette az elemzést a G Data honlapján, amely így részletesen dokumentálta az esetet, és rávilágított a Facebook biztonsági hiányosságaira is.