Son zamanlarda, piyasada ters proxy hizmetleri sunan EvilProxy adlı bir PaaS (Hizmet Olarak Kimlik Avı) platformu ortaya çıktı ve Resecurity güvenlik firması tarafından tanımlandı.
Bu yeni ortaya çıkan hizmetten yararlanarak tehdit aktörleri, çalınan kimlik doğrulama belirteçlerinin yardımıyla aşağıdaki platformlarda MFA’yı atlayabilir:-
- Elma
- Microsoft
- heyecan
- GitHub
- GoDaddy
- PyPI
Teknik Analiz
İyi korunan çevrimiçi hesaplara, bu hizmeti kullanarak acemi tehdit aktörleri tarafından erişilebilir. Ters proxy saldırıları sırasında, sunucular meşru bir kimlik doğrulama bitiş noktası ile hedeflenen kurban arasında konumlandırılır.
Ters proxy sunucuları, bir kurban bir kimlik avı sayfasına bağlandığında, kimlik avı saldırılarına, ileri isteklere ve şirketin sunucularından gelen yanıtlara yanıt olarak gerçek oturum açma formlarını görüntüler.
Rapora göre, kurban kimlik avı sayfasına kimlik bilgilerini ve MFA’yı girdiklerinde asıl platformun sunucusuna yönlendirilecek. Giriş yaptıktan sonra, bir oturum çerezi döndürülür ve kullanıcı hesaba erişebilir.
Bu şekilde tehdit aktörü, bu kimlik doğrulama çerezini kullanarak kullanıcının kimliği ile siteye giriş yapma olanağına kavuşur. Bunun amacı, yapılandırılmış çok faktörlü kimlik doğrulama korumalarını atlamaktır.
Bazı durumlarda, aktörler ihtiyaçlarına göre uyarlanmış kendi özel araçlarını kullanıyorlar. Geri kalanına gelince, çok daha hızlı dağıtılabilen kitler kullanıyorlar, örneğin:-
- Modlishka
- nekrotarayıcı
- Evilginx2
EvilProxy
EvilProxy, son derece kullanıcı dostu bir GUI sunmanın yanı sıra, tehdit aktörlerine kimlik avı kampanyaları ve ayrıntılı tekniklerini kurma ve yönetme konusunda yardımcı olan bir dizi özellik de sunar.
Hizmetten yararlanmak için kullanıcı, kullanıcı adlarını, şifreleri ve oturum çerezlerini çalma fırsatı için aşağıdaki fiyatları ödemek zorunda kalacaktır. Aşağıda fiyat listesinden bahsettik: –
- 150 $: 10 gün
- 250 $: 20 gün
- 400 $: Aylık kampanya
Google hesaplarına yönelik saldırılarla ilgili maliyetlere gelince, bunlar daha yüksekti ve burada fiyatı aşağıda listeledik:-
Çeşitli clearnet ve dark web hack forumlarında, operatörler bu hizmeti aktif olarak potansiyel müşterilere tanıtmaktadır. Muhtemel alıcılardan bazıları, müşterileri inceledikleri için operatörler tarafından reddedilecektir.
Telegram’da hizmet için önceden yapılması gereken bireysel bir ödeme düzenlemesi vardır. Müşteri, ödeme ağ geçidi üzerinden bir ödeme yaptıktan sonra TOR tarafından barındırılan portala erişebilecektir.
EvilProxy portalında, EvilProxy hizmetinin kurulumu ve kullanımıyla ilgili çok çeşitli konuları kapsayan çeşitli eğitimler ve etkileşimli videolar bulunmaktadır.
Düşük vasıflı tehdit aktörleri, EvilProxy gibi platformları ve diğer benzer platformları kullanarak, değerli hesapları düşük maliyetli bir yöntemle çalabilmektedir. Bu, bunun gibi hizmetler aracılığıyla beceri açığını kapatmanın iyi bir örneğidir.
Ücretsiz Yazılım Yazılımını İndirin – Güvenli Web Filtreleme – E-kitap