
سرقت اطلاعات کاربران با راه اندازی پلتفرم EvilProxy
سرقت اطلاعات کاربران با راه اندازی پلتفرم EvilProxy

اخیراً یک پلتفرم PaaS (فیشینگ بهعنوان سرویس) به نام EvilProxy که خدمات پروکسی معکوس را ارائه میدهد در بازار ظاهر شده و با دور زدن 2FA داده های کاربران را به سرقت می برد
EvilProxy – فیشینگ به عنوان یک سرویس از طریق دارک وب برای دور زدن 2FA تبلیغ می شود. با بهرهبرداری از این سرویس جدید، عوامل تهدید میتوانند با کمک توکنهای احراز هویت سرقت شده، قابلیت MFA را در پلتفرمهای Apple، Google ، Facebook ، Microsoft ، Twitter ، GitHub ، GoDaddy ، PyPI دور بزنند.
تحلیل فنی
حسابهای آنلاینی که به خوبی محافظت میشوند میتوانند توسط عوامل تهدید تازهکار با استفاده از این سرویس قابل دسترس باشند. در طول حملات پراکسی معکوس، سرورها بین یک Endpoint تأیید شده و قربانی هدف قرار می گیرند. سرورهای پراکسی معکوس، فرمهای ورود معتبر را در پاسخ به حملات فیشینگ، درخواستهای فوروارد و پاسخهای برگشتی از سرورهای شرکت، زمانی که قربانی به صفحه فیشینگ متصل میشود را نمایش میدهند.
EHA
طبق این گزارش، قربانی پس از وارد کردن اعتبار و MFA خود در صفحه فیشینگ، به سرور واقعی هدایت میشود و پس از ورود، یک کوکی سشن برگردانده می شود و کاربر می تواند به حساب کاربری خود دسترسی پیدا کند. به این ترتیب عامل تهدید با هدف دور زدن حفاظت های احراز هویت چند عاملی و با استفاده از کوکی احراز هویت این امکان را به دست آورده است که با هویت کاربر وارد سایت شود. در برخی موارد، عامل ها از ابزارهای سفارشی خود که متناسب با نیازهای آنهاست استفاده میکنند در بقیه موارد، آنها از کیت هایی استفاده می کنند که می توانند بسیار سریعتر مستقر شوند، مانند: Modlishka، Necrobrowserو Evilginx2
EvilProxy
علاوه بر ارائه یک رابط کاربری گرافیکی بسیار کاربرپسند، EvilProxy همچنین طیف وسیعی از ویژگیها را ارائه میکند که به عوامل تهدید در راهاندازی و مدیریت کمپینهای فیشینگ و تکنیکهای دقیق آنها کمک میکند.
برای استفاده از این سرویس، کاربر باید قیمتهای 150 دلار: 10 روز 250 دلار: 20 روز و 400 دلار را برای کمپین یک ماهه به منظور داشتن فرصتی برای سرقت نامهای کاربری، رمز عبور و کوکیهای سشن بپردازد. هزینههای مرتبط با حملاتی علیه حساب های گوگل بیشتر بوده و با قیمت های 250 دلار، 450دلار و600 دلار می باشد.
در انجمن های مختلف هک وب تاریک و کلین نت، اپراتورها به طور فعال این سرویس را برای مشتریان بالقوه تبلیغ می کنند. و این احتمال وجود دارد که برخی از خریداران احتمالی توسط اپراتورها رد شوند زیرا آنها مشتریان را بررسی می کنند و یک ترتیب پرداخت فردی برای این سرویس در تلگرام وجود دارد که باید از قبل انجام شود. مشتری پس از پرداخت از طریق درگاه پرداخت، به پورتال میزبان TOR دسترسی خواهد داشت.