W miarę jak organizacje coraz częściej przyjmują uwierzytelnianie wieloskładnikowe (MFA) w celu zwiększenia bezpieczeństwa, ewoluują też metody stosowane do ominięcia zabezpieczeń. Jedną z takich technik są ataki phishingowe, które w niektórych przypadkach mogą prowadzić do kradzieży tokenów, zwłaszcza w połączeniu z atakami typu Man-in-the-Middle (MitM).
Czym są tokeny?
Kiedy użytkownik loguje się do strony lub usługi, to uwierzytelnia się loginem, hasłem i (oby) dodatkowym składnikiem, np. aplikacją lub kluczem fizycznym. Później jednak zwykle pozostajemy zalogowani przez pewien czas, nie musząc podawać wszystkich danych co chwilę. Dzieje się tak, ponieważ dana usługa wydaje cyfrową „przepustkę” — zapisuje w niej dane urządzenia i oprogramowania czy fakt poprawnego uwierzytelnienia się, a następnie całość szyfruje. W efekcie otrzymujemy token, którym aplikacja, np. przeglądarka internetowa, może się okazać przed usługą i tym samym przepuścić nas bez konieczności logowania się.
Token taki może mieć postać ciasteczka, czyli niewielkiego pliku (cookie), który strona internetowa pozostawia na naszym urządzeniu i z niego odczytuje informacje. Jest on zarazem przypisany do bardzo konkretnego środowiska, zatem inna przeglądarka taką „przepustką” nie może się posłużyć. Tokeny również mogą być przechowywane w innych miejscach, np. w lokalnej pamięci przeglądarki.
Na czym polega atak? Przykład LTT
W 2023 roku pracownik jednego z największych kanałów technologicznych w YouTube — Linus Tech Tips (LTT) — otrzymał email z propozycją współpracy biznesowej. Nie była to wiadomość od nigeryjskiego księcia potrzebującego pomocy, ani też wezwanie do zapłaty napisane przez słabej jakości translator. Email sprawiał wrażenie solidnie przygotowanej propozycji, dotyczącej sponsorowania jednego z odcinków. Szczegóły umowy znajdowały się w załączniku, pliku PDF, który nie otwierał się. Pracownik zajął się więc innymi sprawami.
PDF ze szczegółami był tak naprawdę zakamuflowanym malware. W ciągu zaledwie 30 sekund od kliknięcia złośliwe oprogramowanie uzyskało dostęp do wszystkich danych użytkowników w zainstalowanych przeglądarkach internetowych (w tym wypadku Edge i Chrome), w tym dostęp do lokalnie zapamiętanych haseł, ciasteczek oraz preferencji. W efekcie atakujący uzyskał nie tylko tokeny do każdej zalogowanej strony (zapisane jako ciasteczka), lecz pliki sesji przeglądarek, które następnie zostały sklonowane i przeniesione na komputer atakującego.
W nocy, kiedy żaden z pracowników nie mógłby natychmiastowo interweniować, atakujący zaczął usuwać setki filmów. Wykorzystując bazę 15 milionów subskrybentów LTT, zamieścił filmy deepfake, przedstawiające Elona Muska namawiającego do inwestowania w przekręt kryptowalutowy. Działo się tak, ponieważ usługa (YouTube) była przekonana, że żądania te wysyła pracownik LTT, ze swojego służbowego komputera, w dodatku uwierzytelniony MFA. „Przepustka” była jednak sklonowana wraz z „przebraniem” osoby, która się nią okazywała. Nad sytuacją zapanowano dopiero gdy LTT zostało zbanowane przez YouTube. Skasowane filmy udało się później przywrócić za sprawą kopii zapasowej.
Jakie to ma znaczenie dla mnie?
Atak na LTT to tylko medialny przypadek. Poważnie zagrożone kradzieżą tokenu było OAuth 2.0 microsoftowego Azure AD, które jest powszechnie używanym protokołem uwierzytelniania, wykorzystywanym w wielu aplikacjach i usługach Microsoftu. Metodę tę wykorzystano także przeciwko hackerom, podsuwając fałszywe narzędzie do kradzieży kont OnlyFans. Większość usług, do których logujemy się na co dzień, jest narażona.
Kto może czuć się zagrożony? Firma, której system pozwala po zalogowaniu uzyskać dostęp do ważnych aktywów, takich jak patenty, tajemnice przedsiębiorstwa czy dane klientów. Powodem ataku może być także konto w social mediach, które ma szerokie grono odbiorców. Jego przejęcie byłoby albo opłacalne (by dotrzeć z np. oszustem do wszystkich obserwujących — choćby przez spoofing), albo poważnie naruszyłoby wizerunek firmy.
Zagrożeni są przede wszystkim pracownicy zdalni, którzy koniecznie muszą logować się do systemów. Brak bezpośredniej kontroli nad prywatnymi urządzeniami, które nie są zarządzane przez dział IT, dodatkowo zwiększa to ryzyko. Natomiast nadużycie sprzętów służbowych, bezpośrednio naraża je na działanie złośliwego oprogramowania. Wystarczy niezatwierdzona przez dział IT aplikacja, a nawet dodatek do przeglądarki, by tokeny wraz z informacjami z pozostałymi informacjami zostały skradzione.
Przestępcy używają także phishingu. Może on mieć formę propozycji biznesowej, jak w przypadku LTT, a może być rzekomym dokumentem ze szpitala: o wypadku dziecka, z podaniem jego imienia i nazwiska, szkoły do której uczęszcza, a nawet klasy czy daty urodzenia. Wszystkie te informacje można bowiem łatwo uzyskać z social mediów, także w sposób zautomatyzowany.
Co mam zrobić?
W pracy stosuj się do zasad podanych przez dział IT. Jeżeli ich nie pamiętasz, sprawdź gdzie się znajdują, zapoznaj się z nimi i zweryfikuj, czy nie zostały naruszone. Działaj z rozwagą, zawsze pytaj — aby rozwiać każdą wątpliwość.
Zgłaszaj każde podejrzane zdarzenie: email, który brzmi inaczej lub został „omyłkowo” wysłany z prywatnego emaila pracownika innej firmy, jak również każdy załącznik, co do którego masz wątpliwości, albo który nie otworzył się. Nawet jeśli plik wyświetli się poprawnie, lecz w czasie jego otwierania na ułamek sekundy pojawi się i zniknie dodatkowe okno — niewielkie w rogu (polecenie uruchom) lub większe, czarne (terminal) — koniecznie poinformuj o tym IT.
Nie otwieraj od razu załączników. W razie niepewności, np. emaila dotyczącego biskiej osoby, pilnej sytuacji biznesowej, zweryfikuj go dzwoniąc do rzekomego nadawcy.
Jeśli zauważysz, że poważne działanie (np. dostęp do ściśle poufnego pliku w zasobie firmowym, akcji usuwania dużej ilości danych) nie wymaga dodatkowej autoryzacji, poinformuj o tym IT. Zastosowanie dodatkowych metod, takich jak zarządzanie dostępem kontekstowym lub analizy behawioralne, może pomóc wykryć nietypowe działania. Z kolei konieczność podania hasła w takich sytuacjach sprawia, iż kradzież tokenu staje się bezskuteczna.
Nigdy nie wychodź z założenia, że Ciebie to nie dotyczy: bo nie przetwarzasz wrażliwych informacji lub Twoja firma nie wydaje się być celem wartym takiego przedsięwzięcia. Część ataków to działania „na ślepo”, które szukają słabego ogniwa lub podatnego gruntu.
Autor: Mateusz Rakowski