Moderní phishingové techniky: jak útočníci obcházejí MFA a překonávají filtry

Phishing dávno přerostl falešné přihlašovací stránky

Dlouhá léta se phishing rovnal hrubě napodobené přihlašovací stránce a víře, že někdo prostě napíše své heslo. Obránci na to odpověděli spamovými filtry, přepisováním odkazů, dvoufaktorovým ověřením (MFA) a vzděláváním zaměstnanců. Útočníci se ale přizpůsobili. Postupy popsané níže jsou současným profesionálním řemeslem, které se objevuje napříč Evropou - zprůmyslnělo díky sadám Phishing-as-a-Service a stále častěji ho podporuje umělá inteligence, jak upozorňuje agentura ENISA. Phishing zůstává v EU nejčastější branou k prvotnímu průniku do systémů.

Všechny tyto metody spojuje jedno: míří do mezer mezi jednotlivými opatřeními. Do okamžiku mezi platným přihlášením a platnou relací, do lidského reflexu umlčet otravné upozornění, do důvěry ve známé vyskakovací okno. Žádná z nich nepotřebuje prolomit šifrování - jde o sociální inženýrství převlečené do technického hávu. Právě proto si s nimi poradí jen obránci, kteří chápou obě roviny současně. Pokud teprve začínáte, dobrým doplňkem je náš přehled jednotlivých druhů phishingu.

Adversary-in-the-Middle: phishing v reálném čase, který poráží běžné MFA

Adversary-in-the-middle (AiTM) je technika, která potichu vyřadila z provozu spoustu dvoufaktorového ověření. Útočník nepoužije statickou padělanou stránku, ale provozuje reverzní proxy, která se vmísí mezi oběť a skutečnou službu - třeba mezi uživatele a pravé přihlášení do Microsoftu 365. Oběť vidí opravdovou stránku (komunikuje totiž přímo s ní, jen přes proxy), zadá heslo a zcela běžně potvrdí výzvu MFA.

Háček spočívá v tom, že proxy si neodnese jen heslo, ale i ověřovací token relace, který služba po úspěšném přihlášení vystaví. S tímto tokenem je útočník přihlášený jako daný uživatel - a MFA má přitom splněné. Hotové sady jako často zmiňovaný Tycoon2FA zpřístupnily celý postup i naprostým laikům. A protože se uživatel skutečně přihlásil, běžné výzvy ve stylu „schválit / zamítnout“ tu chrání jen pramálo. Krádež session cookies a tokenů je tak hlavní pointou celého útoku.

• Návnada vede na proxy doménu pod kontrolou útočníka, ne na pravou službu.
• Proxy zrcadlí živé přihlášení, takže stránka i celý průběh MFA působí naprosto věrohodně.
• Skutečnou kořistí není heslo, ale token relace - ten dává okamžitý přístup k účtu.
• SMS kódy, jednorázová hesla i jednoduchá push schválení proxy přeposílá, aniž si toho oběť všimne.

MFA únava a push bombing: útok na trpělivost uživatele

MFA únava, známá také jako push bombing, necílí na protokol, ale na člověka. Útočník už má v ruce platné heslo (často koupené od provozovatele info-stealeru nebo získané dřívějším únikem) a jednoduše spouští jeden pokus o přihlášení za druhým. Každý z nich pošle na telefon oběti push notifikaci: schválit, nebo zamítnout?

Sázka je čistě psychologická. Po desáté výzvě v nevhodnou hodinu jednu z nich spousta lidí odklepne, jen aby telefon konečně přestal vibrovat - nebo si řeknou, že IT zrovna provádí údržbu. Někteří útočníci přitlačí ještě telefonátem nebo zprávou, v nichž se vydávají za help desk a uživatele nabádají, ať „výzvu potvrdí, aby se problém vyřešil“. Je to směs vishingu a MFA únavy. Obrana je zčásti technická (number matching, které uživatele donutí opsat kód ze zobrazené obrazovky místo bezmyšlenkovitého ťuknutí) a zčásti kulturní: ve firmě musí být naprosto normální neočekávanou výzvu odmítnout a nahlásit.

Browser-in-the-Browser: falešné přihlašovací okno uvnitř pravé stránky

Technika Browser-in-the-Browser (BitB) zneužívá zvyk, který máme všichni: bezmyšlenkovitě věřit oknu „Přihlásit se přes Microsoft“ nebo „Přihlásit se přes Google“. Když na takové tlačítko jednotného přihlášení (SSO) kliknete, normálně se otevře malé samostatné okno. BitB ho celé jen předstírá pomocí běžných prvků webové stránky - vykreslí si vlastní titulkovou lištu, přesvědčivý adresní řádek s legitimní doménou i důvěrně známý vzhled.

Protože je toto falešné přihlašovací okno vykreslené uvnitř škodlivé stránky, text v jeho adresním řádku je pouhý obrázek, který si útočník libovolně určí. Klidně tam svítí „login.microsoftonline.com“, zatímco všechno, co napíšete, putuje k němu. Prozradí ho ale chování: skutečné vyskakovací okno je samostatné okno operačního systému, které lze vytáhnout mimo mateřskou stránku. To falešné v ní zůstane uvězněné. Když uživatele naučíte okno SSO zkusit přetáhnout - a na přihlašovací stránky chodit přes záložky místo přes odkazy - velkou část této techniky tím zneškodníte.

• „Okno“ nejde vytáhnout mimo hlavní okno prohlížeče.
• Ovládací prvky okna se chovají trochu jinak, případně tlačítka nedělají vůbec nic.
• Stránka vás vyzývá k opětovnému přihlášení v nezvyklou chvíli nebo v nečekané souvislosti.

Zneužití OAuth souhlasu: krádež přístupu bez krádeže hesla

Zneužití OAuth souhlasu obchází hesla úplně. Útočník si o přihlašovací údaje vůbec neřekne - místo toho uživatele přiměje, aby škodlivé aplikaci udělil oprávnění, třeba ke čtení e-mailů, souborů nebo kalendáře. A to přes naprosto legitimní souhlasovou obrazovku Microsoftu 365 či Google Workspace. Uživatel jen klikne na „Přijmout“ ve skutečném, řádně označeném dialogu oprávnění.

Výsledkem je trvalý přístup postavený na tokenu. A protože žádné heslo neuniklo, jeho změna útočníka nevyhodí - škodlivá aplikace si udělená oprávnění podrží do chvíle, než správce souhlas výslovně odebere. Právě proto je zneužití OAuth souhlasu tak ceněné pro tichý, dlouhodobý přístup a často bývá odrazovým můstkem ke kompromitaci firemní pošty (BEC). Obránci se brání tím, že omezí, kterým aplikacím smí uživatelé souhlas vůbec udělit, u rizikových oprávnění vyžadují schválení správcem a udělené souhlasy v tenantu pravidelně procházejí.

Quishing: pokročilý phishing schovaný v QR kódu

Quishing vymění klikatelný odkaz za QR kód, který bývá schovaný v obrázku nebo v příloze ve formátu PDF. Pro útočníky je lákavý hned ze dvou důvodů. Zaprvé je QR kód pro většinu nástrojů e-mailové bezpečnosti jen obyčejný obrázek, takže snadno proklouzne kolem skenerů odkazů, které by škodlivou URL adresu jinak zachytily. Zadruhé přesune oběť na soukromý mobil - typicky mimo dosah firemního filtrování, ochrany koncových bodů i správy zařízení.

Typické tuzemské návnady kód zabalí do věrohodné záminky: „povinná“ obnova nastavení MFA, sdílený dokument, oznámení o zásilce od přepravce (třeba od Zásilkovny nebo České pošty) nebo formulář z personálního oddělení. Po naskenování čeká na oběť běžná phishingová či AiTM stránka. A protože se vše odehrává na telefonu, obvyklé varovné signály z počítače chybí. Veďte zaměstnance k tomu, aby k nečekaným QR kódům v e-mailu i na papíře přistupovali se stejnou opatrností jako k jakémukoli odkazu a před naskenováním si požadavek ověřili jiným, známým kanálem.

ClickFix: jak útočník přiměje uživatele, aby se nakazil sám

ClickFix je rychle rostoucí technika, která z oběti udělá doručovací kanál malwaru. Návnada zobrazí falešnou chybovou hlášku, podvrženou kontrolu „ověřte, že nejste robot“ nebo výzvu typu „dokument se nepodařilo načíst - zde je oprava“. Pokyny pak uživatele krok za krokem provedou tím, že zkopíruje nějaký text a vloží ho do systémového dialogu, třeba do okna Spustit (Run) ve Windows nebo do terminálu. To celé je samozřejmě podáno jako neškodný krok při řešení potíží.

Jenže to, co uživatel vkládá, je ve skutečnosti příkaz, který stáhne a spustí malware. A protože akci provede vlastníma rukama, obejde se tím spousta automatických ochran - není tu žádná škodlivá příloha ke skenování ani zjevné stahování, které by se dalo zablokovat. ClickFix je účinný právě proto, že si vypůjčuje jazyk běžné IT podpory. Hlavní obranné poselství je jednoduché a snadno zapamatovatelné: legitimní web ani chybová hláška vás nikdy nevyzve, abyste kopírovali a vkládali příkazy do okna Spustit, do PowerShellu nebo do terminálu.

Jak se bránit moderním phishingovým technikám

Moderní phishingové techniky si poradí s každým osamoceným opatřením, a tak musí být i obrana vrstvená - napříč identitou, konfigurací i lidmi. Tím nejdůležitějším technickým krokem je nasazení přihlašování odolného vůči phishingu.

Posilte identitu

• Nasaďte passkeys / FIDO2 na účty, na kterých nejvíc záleží. Protože jsou kryptograficky svázané s legitimní doménou, přihlašovací údaj nelze přehrát na AiTM proxy ani ve falešném okně Browser-in-the-Browser. Je to nejsilnější odpověď na krádež přihlašovacích údajů i session cookies.
• Tam, kde push MFA zůstává, zapněte number matching - otupíte tím MFA únavu.
• Využijte zásady podmíněného přístupu (conditional access): omezte přihlášení podle stavu zařízení, polohy nebo míry rizika, aby se ukradený token relace dal hůř zneužít.
• Omezte, kterým OAuth aplikacím smí uživatelé udělit souhlas, u citlivých oprávnění vyžadujte schválení správcem a udělené souhlasy pravidelně revidujte.

Zpevněte e-mail a konfiguraci

• Vynucujte SPF, DKIM a DMARC (s politikou quarantine nebo reject), abyste omezili podvrhávání domén.
• Skenujte přílohy a obrázky kvůli skrytým QR kódům a k externím výzvám SSO i přihlašování přistupujte obezřetně.
• Zkraťte životnost relací a při náznaku rizika neprodleně zneplatněte tokeny.

Investujte do lidí

Zaměstnanci jsou řešením, ne problémem - ovšem jen tehdy, když tyto techniky viděli dřív, než na ně narazí naostro. Znalost AiTM, push bombingu, BitB, quishingu i ClickFixu promění chvilkové zaváhání v nahlášení místo kliknutí. Realistické a lokalizované phishingové simulace doplněné o krátké školení v pravý okamžik - například na platformě PhishGun - budují měřitelnou odolnost v čase a navíc poskytují doklady připravené pro audit podle rámců jako NIS2 a DORA. Širší pohled na celý program najdete v našem návodu, jak předcházet phishingu; cíleným útokům se pak věnuje článek o spear phishingu a BEC.