Az adathalász támadások során kompromittált fiókokhoz a bűnözők már a felhasználónév és jelszó kiszivárogtatását követő 12 órán belül, manuálisan hozzáférnek, a lehető leggyorsabban felhasználva az ellopott hitelesítő adatokat – állatják az email-biztonsági megoldásokat fejleszztő Agari kiberbiztonsági kutatói. A cég szakembereiegy nagy csomó olyan azonosítót szórtak el a lopott adatok közzétételére használt, összesen több mint 8 ezer darab webhelyen és fórumon, amelyek látszólag valódi felhasználókhoz és közismert cloud szolgáltatókhoz kapcsolódtak, de valójában a kutatók ellenőrzése alatt álltak.

A hat hónapon keresztül zajló megfigyelés eredményeiből kiderült, hogy a szóban forgó profilokba általában már néhány órával azután be is lépnek, hogy az azonosítók megjelennek a neten. A ZDNet ezzel kapcsolatban az Agari fenyegetettségek kutatásáért felelős vezetőjét is idézi, aki szerint a fiókok körülbelül felét 12 órán belül elérték, sőt 20 százalékukra 1 órán belül, 40 százalékukra pedig 6 órán belül beléptek ahhoz képest, hogy a csalikat elhelyezték az adathalász csatornákon.

Az Agari Cyber Intelligence Division kutatása arról is beszámol, hogy majdnem minden esetben manuális hozzáférésről volt szó, ami nyilván elég hétköznapi megoldásnak tűnik, de egyben azt is bizonyítja, hogy a bűnözők szeretnek személyesen meggyőződni róla, mennyire működőképesek a belépési kulcsok. Vagyis akármilyen unalmas a folyamat, a végén így szűrhetők ki a jó minőségű eszközök, amivel később a fiókokat különféle módon alkalmazhatják a rosszindulatú tevékenységek egyes típusaihoz.

Ennél többet is tehetnénk ellene

Ez alapesetben a megtámadott postafiókokban heverő, bizalmas információ felkutatása is lehet, amelynek révén akár a felhős tárolók tartalmát is kipucolhatják, vagy amit felhasználhatnak további támadásokhoz, és esetleg el is adhatnak az említett webhelyeken. A támadók magukat a fiókokat is felhasználhatják más támadásokhoz és kampányokhoz, így adathalászathoz (phishing) vagy az üzleti emailekhez kapcsolódó visszaélésekhez (business email compromise, BEC).

A ZDNet szerint ez utóbbira konkrét kísérlet is történt, ami persze nem járt eredménnyel, mivel az ellenőrzött fiiókok alól kiküldött levelek nem jutottak el a címzettekhez. Az Agari kísérlete ugyanakkor tökéletesen szemlélteti, hogy az internetes bűnözők milyen gyorsan lecsapnak a kiszivárgó hitelesítési adatokra, és milyen gyorsan megpróbálják kihasználni a lehetőségeket a további fiókokbaz való behatolásra. A kompromittált fiókokból indított kampányok ugynais további kompromittált fiókokat eredményeznek, amelyekből újabb akciók indulnak, és így tovább.

Érdekesség, hogy a kutatás szerint a bűnözők nem csak a felhasználónevek és jelszavak alkalmazásával sietnek, de legtöbbször nagyjából egy hét múlva el is dobják azokat – feltehetően azért, mert addigra más profilokba költöznek át, és nincs már szükségük az ugródeszkának tekinthető előző fiókokra. A szervezetek mindez ellen természetesen megtehetik a hagyományos óvintézkedéseket, és bevezethetik a több faktoros hitelesítést is: ez utóbbi nem csak a támadók dolgát nehezíti meg, de az áldozatokat is nagyobb eséllyel figyelmezteti, ha valami nem kerek a fiókjával kapcsolatban.