Începutul lunii octombrie a marcat reapariția unei tehnici de phishing care exploatează mecanismul Basic Authentication (https://username:password@domain . com) pentru a înșela utilizatorii să introducă date sensibile. Actorii amenințării creează linkuri care integrează un domeniu de încredere (precum cel al unei bănci sau Amazon) în câmpul username, făcând ca adresa să pară vizual legitimă.
În momentul în care utilizatorii accesează aceste linkuri, browserele lor se autentifică automat pe domeniul malițios specificat după simbolul @, expunând în mod silențios credențialele. Această tactică este deosebit de periculoasă în aplicațiile mobile și clienții de e-mail care trunchiază adresele lungi, afișând utilizatorului doar partea de dinaintea simbolului @.
Atacurile au vizat instituții financiare majore și branduri populare (Amazon, Google, Netflix), fiind identificate peste 200 de URL-uri de phishing de acest tip într-o perioadă scurtă. Atacatorii au folosit chiar si pagini CAPTCHA false pentru a simula verificări de securitate, sporind aparența de legitimitate a schemei de phishing.
Ghid Esențial de Securitate Cibernetică și Protecție Anti-Phishing
A. Educația Utilizatorilor și Conștientizarea Amenințărilor
1. Verificarea Simbolului @ în URL-uri (Autentificare Basic)
Obiectiv: Creșterea conștientizării asupra structurii URL-urilor de autentificare Basic, adesea folosite în atacurile de phishing.
Pasul 1: Stabiliți o politică de comunicare clară - Niciun serviciu legitim nu va folosi formatul username:password@domeniu.com într-un link de e-mail sau SMS.
Pasul 2: Instruți-i pe utilizatori să fie extrem de precauți cu orice link care conține simbolul @ în calea URL-ului (înainte de primul / după domeniu).
Pasul 3: Recomandați utilizarea funcției de hover (trecere cu mouse-ul) pentru a vedea URL-ul complet, mai ales pe desktop, înainte de a da click.
2. Instruirea cu privire la Pagina CAPTCHA Falsă
Obiectiv: Demascarea falselor verificări de securitate folosite pentru a fura credențiale.
Pasul 1: Informați utilizatorii că o pagină CAPTCHA sau o verificare de securitate care apare după ce au dat click pe un link din e-mail (mai ales unul nesolicitat) este un semnal de alarma.
Pasul 2: Explicați că paginile de securitate legitime nu vin niciodată de la URL-uri atipice și nu cer reintroducerea credențialelor sub pretextul unei verificări imediat după click.
3. Utilizarea unui Password Manager
Obiectiv: Prevenirea introducerii automate a parolelor pe site-uri de phishing.
Pasul 1: Încurajați utilizatorii să folosească un Password Manager de încredere.
Pasul 2: Explicați faptul că Password Manager-ul nu va completa automat credențialele pe site-uri de phishing, deoarece URL-ul paginii false nu se potrivește cu cel salvat (de exemplu, nu va completa parola pentru microsooft.com dacă parola a fost salvată pentru microsoft.com).
B. Măsuri Tehnice de Securitate la Nivel de Organizație
4. Configurarea Gateway-ului de E-mail pentru a Filtra Adresele Web care Conțin Simbolul @
Obiectiv: Blocarea automată a linkurilor suspecte înainte de a ajunge în Inbox.
Pasul 1: Accesați configurația E-mail Gateway-ului (de exemplu, Exchange Online Protection / EOP sau soluția dumneavoastră).
Pasul 2: Setați o politică de filtrare care să rețină automat mesajele ce prezintă simbolul @ în adresele web (URL-uri), în afara contextului normal de e-mail.
Pasul 3: Testați regula cu URL-uri de tipul https://user:pass@domeniu.com pentru a vă asigura că funcționează conform așteptărilor.
5. Monitorizarea E-mailurilor cu Trunchiere de Linkuri
Obiectiv: Identificarea campaniilor care folosesc URL-uri lungi pentru a ascunde destinația reală.
Pasul 1: Utilizați soluții de analiză a e-mailurilor, care alertează în cazul în care corpul mesajului conține linkuri cu lungimi neobișnuit de mari sau parametri excesivi.
Pasul 2: Implementați tehnologia Safe Links (dacă folosiți M365 sau o alternativă similară) pentru a rescrie și scana destinația finală a URL-ului în momentul click-ului.
6. Dezactivarea/Restricționarea Protocolului Basic Auth (Dacă este Posibil)
Obiectiv: Eliminarea capacității browserelor de a procesa acest tip de autentificare moștenită și nesigură.
Pasul 1: Consultați documentația browserelor utilizate (Chrome, Edge) pentru a vedea dacă există setări de grup (GPO) sau registry care dezactivează suportul pentru Basic Authentication în URL-uri.
Pasul 2: Aplicați aceste politici la nivel de organizație prin Group Policy Objects (GPO) sau Intune/soluția dumneavoastră de management dispozitive.
7. Aplicarea Securității Bazate pe Reputația Domeniilor
Obiectiv: Blocarea accesului la domenii malițioase.
Pasul 1: Asigurați-vă că soluțiile EDR/NGAV și filtrele web utilizează baze de date de reputație actualizate (Web Reputation/URL Filtering).
Pasul 2: Configurați filtrele web să blocheze automat domenii clasificate ca Phishing sau High-Risk.
8. Implementarea DMARC, DKIM și SPF
Obiectiv: Prevenirea spoofing-ului de domeniu.
Pasul 1: Configurați și aplicați politici DMARC stricte (cu acțiune reject) pentru domeniul organizației.
Pasul 2: Implementați înregistrări DKIM (DomainKeys Identified Mail) pentru a semna digital e-mailurile expediate.
Pasul 3: Implementați înregistrări SPF (Sender Policy Framework).
9. Generarea de Alerte pentru Accesări neobișnuite de DNS
Obiectiv: Detectarea tentativelor de rezolvare DNS către domenii de atac nou înregistrate.
Pasul 1: Utilizați un serviciu DNS Filtering care poate bloca rezoluțiile către domenii malițioase cunoscute sau domenii nou înregistrate (NDD - Newly Registered Domains).
Pasul 2: Monitorizați jurnalele DNS pentru a detecta un număr mare de încercări de acces la domenii cu risc ridicat sau o creștere neobișnuită a cererilor către domenii nesigure.
10. Stabilirea unei Politici Stricte Anti-Phishing pe Mobile
Obiectiv: Protejarea utilizatorilor pe dispozitivele mobile, unde trunchierea URL-urilor este mai frecventă.
Pasul 1: Implementați soluții Mobile Device Management (MDM) sau Mobile Threat Defense (MTD) la nivel de organizație.
Pasul 2: Asigurați-vă că soluția MTD include filtrare web și detectare a linkurilor malițioase în aplicațiile de e-mail și mesagerie pe dispozitivele mobile.
Pentru mai multe sfaturi și informații despre securitatea cibernetică, vizitează regulat sigurantapenet.ro