Phishing už dávno nie je len falošná prihlasovacia stránka
Roky platilo, že phishing znamenal hrubú napodobeninu prihlasovacej stránky a tichú nádej, že niekto bez rozmyslu zadá heslo. Obrancovia na to reagovali spamovými filtrami, prepisovaním odkazov, viacfaktorovým overením (MFA) aj školeniami zamestnancov. Útočníci sa však prispôsobili. Techniky, ktoré si rozoberieme nižšie, sú dnes bežnou výbavou profesionálov naprieč Európou – masovo dostupné vďaka sadám Phishing-as-a-Service a čoraz častejšie dotvárané umelou inteligenciou, na čo upozorňuje aj agentúra ENISA. Phishing pritom v EÚ naďalej zostáva najčastejším spôsobom, akým sa útočník vôbec dostane dovnútra.
Všetky tieto metódy spája jedno: mieria do medzier medzi opatreniami. Na okamih medzi platným prihlásením a platnou reláciou. Na ľudský reflex umlčať otravné upozornenie, len aby konečne dalo pokoj. Na automatickú dôveru v dôverne známe okno. Žiadna z nich nepotrebuje prelomiť šifrovanie – sú to klasické triky sociálneho inžinierstva oblečené do technického kabáta. A práve preto najlepšie obstoja obrancovia, ktorí rozumejú obom rovinám naraz. Ak ešte len začínate, dobrým východiskom je náš prehľad jednotlivých druhov phishingu.
AiTM útok (adversary in the middle): obídenie MFA cez proxy v reálnom čase
Práve adversary-in-the-middle (AiTM) je technika, ktorá potichu pripravila o účinnosť obrovskú časť nasadeného MFA. Útočník nepoužije statickú falošnú stránku – namiesto toho prevádzkuje reverznú proxy, ktorá sa postaví presne medzi obeť a skutočnú službu, napríklad medzi používateľa a pravé prihlásenie do Microsoft 365. Obeť vidí naozajstnú stránku (komunikuje totiž priamo s ňou, len cez medzičlánok), pokojne zadá heslo a úplne bežne dokončí aj výzvu MFA.
Háčik spočíva v tom, čo si proxy odnesie. Nezachytí len heslo, ale aj overený token relácie (session token), ktorý služba po úspešnom prihlásení vydá. S týmto tokenom v ruke je útočník prihlásený ako daný používateľ a MFA má z pohľadu systému už splnené. Hotové sady ako často spomínaný Tycoon2FA navyše sprístupnili tento postup aj ľuďom bez hlbších technických znalostí. A keďže sa obeť reálne overila, jednoduché výzvy v štýle „schváliť/zamietnuť“ tu prakticky nepomôžu.
- Návnada vedie na proxy doménu pod kontrolou útočníka, nie na pravú službu.
- Proxy v reálnom čase preposiela živé prihlásenie, takže stránka aj celý priebeh MFA pôsobia úplne dôveryhodne.
- Skutočnou korisťou nie je heslo, ale token relácie – práve ten otvára okamžitý prístup do účtu.
- SMS kódy, jednorazové heslá aj jednoduché push potvrdenia sa preposielajú neviditeľne ďalej.
MFA fatigue útok a push bombing: útok na ľudskú trpezlivosť
MFA fatigue, známy aj ako push bombing, necieli na protokol, ale na človeka. Útočník už má v rukách platné heslo – kúpené od infostealera alebo získané pri skoršom úniku – a jednoducho opakovane spúšťa pokusy o prihlásenie. Po každom takom pokuse pristane obeti na telefóne ďalšia push notifikácia s otázkou: schváliť, alebo zamietnuť?
Celá stávka je psychologická. Keď vám telefón vyzváňa desiaty raz uprostred noci, časť ľudí jedno z upozornení napokon odklepne, len aby to konečne stíchlo – alebo si povie, že IT zrejme robí nejakú údržbu. Niektorí útočníci pridajú aj priamy nátlak: zavolajú alebo napíšu, vydávajú sa za help desk a presviedčajú obeť, nech „výzvu potvrdí, aby sa problém vyriešil“. Vzniká tak zmes vishingu a MFA fatigue útoku. Obrana je dvojaká. Technicky pomáha number matching, ktorý núti používateľa opísať kód z obrazovky namiesto bezmyšlienkovitého klepnutia. A kultúrne je kľúčové, aby bolo úplne normálne neočakávanú výzvu zamietnuť a hneď nahlásiť.
Browser in the browser útok: falošné okno vnútri pravej stránky
Browser-in-the-browser (BitB) ťaží z návyku, ktorý máme všetci – automaticky dôverujeme oknu „Prihlásiť sa cez Microsoft“ alebo „Prihlásiť sa cez Google“. Keď kliknete na takéto tlačidlo jednotného prihlásenia (SSO), za bežných okolností vyskočí menšie samostatné okno. BitB toto okno celé sfalšuje pomocou obyčajných prvkov webovej stránky: vykreslí presvedčivú lištu s názvom, napodobeninu adresného riadka so správnou doménou aj dôverne známy vzhľad.
Keďže je však toto „okno“ nakreslené priamo vnútri škodlivej stránky, text v adresnom riadku je len obrázok, ktorý ovláda útočník. Pokojne tam svieti „login.microsoftonline.com“, no všetko, čo napíšete, putuje rovno k nemu. Prezradí ho správanie: pravé okno je samostatné okno operačného systému, ktoré viete chytiť a odtiahnuť mimo materskú stránku. Falošné okno je v nej navždy uväznené. Ak naučíte ľudí skúsiť SSO okno odtiahnuť – a na prihlasovacie stránky chodiť cez záložky namiesto odkazov v e-maile – väčšinu tejto techniky tým vyradíte z hry.
- „Okno“ sa nedá vytiahnuť mimo hlavné okno prehliadača.
- Ovládacie prvky pôsobia trochu zvláštne alebo tlačidlá nereagujú tak, ako majú.
- Stránka pýta opätovné prihlásenie v nezvyčajnom okamihu alebo v kontexte, kde by ho čakať nemala.
OAuth consent phishing: krádež prístupu bez krádeže hesla
OAuth consent phishing obchádza heslá úplne. Útočník nepýta prihlasovacie údaje – namiesto toho nahovorí používateľa, aby škodlivej aplikácii sám udelil oprávnenia, napríklad na čítanie e-mailov, súborov alebo kalendára. A urobí to cez úplne pravú obrazovku súhlasu v Microsoft 365 či Google Workspace. Používateľ tak klikne na „Prijať“ v skutočnom, riadne označenom dialógu oprávnení.
Výsledkom je trvalý prístup naviazaný na token. A pretože žiadne heslo neuniklo, jeho zmena nič nevyrieši – škodlivá aplikácia si udelený prístup pokojne ponecháva, kým správca súhlas výslovne neodvolá. Práve preto je OAuth consent phishing taký cenný na tichý, dlhodobý prístup a stáva sa častým odrazovým mostíkom pre kompromitáciu firemnej pošty (BEC). Obrana stojí na troch pilieroch: obmedzte, ktorým aplikáciám smú používatelia vôbec udeľovať súhlas, pri rizikových oprávneniach vyžadujte schválenie správcom a udelené oprávnenia vo svojom prostredí pravidelne kontrolujte.
Quishing: QR kód phishing, ktorý prejde cez filtre
Quishing vymieňa klikateľný odkaz za QR kód – najčastejšie vložený do obrázka alebo do prílohy vo formáte PDF. Pre útočníka má hneď dve výhody. Po prvé, pre väčšinu nástrojov e-mailovej bezpečnosti je QR kód len obrázok, takže prekĺzne cez skenery, ktoré by škodlivú URL adresu inak odhalili. Po druhé, naskenovaním sa obeť presunie na súkromný mobil – teda mimo firemné filtre, ochranu koncových zariadení aj správu.
Návnady, ktoré u nás bežne vidíme, balia kód do vierohodnej požiadavky: „povinné“ obnovenie nastavenia MFA, zdieľaný dokument, oznámenie o zásielke od kuriéra či Slovenskej pošty alebo formulár z personálneho oddelenia. Po naskenovaní cieľom býva obyčajná phishingová alebo rovno AiTM stránka. A keďže sa to celé deje na telefóne, chýbajú varovné signály, na ktoré sme zvyknutí pri počítači. Veďte preto zamestnancov, aby k neočakávaným QR kódom – v e-maile aj na papieri – pristupovali rovnako obozretne ako k akémukoľvek odkazu a aby si požiadavku pred skenovaním overili cez známy kanál.
ClickFix útok: obeť, ktorá nakazí samú seba
ClickFix je prudko rastúca technika, ktorá z obete urobí doručovateľa malvéru. Návnada zobrazí falošnú chybovú hlášku, podvrhnutú kontrolu „overte, že nie ste robot“ alebo výzvu typu „dokument sa nepodarilo načítať – tu je oprava“. Pokyny potom používateľa krok za krokom prevedú skopírovaním krátkeho textu a jeho vložením do systémového dialógu – napríklad do okna Spustiť (Run) vo Windowse alebo do terminálu – celé to podané ako úplne neškodné riešenie problému.
Lenže to, čo používateľ vloží, je v skutočnosti príkaz, ktorý stiahne a spustí škodlivý kód. A pretože obeť vykoná akciu vlastnoručne, obíde tým množstvo automatických ochrán – nie je tu žiadna príloha na preskenovanie ani zjavné sťahovanie, ktoré by sa dalo zablokovať. ClickFix je účinný práve preto, že si požičiava slovník bežnej IT podpory. Hlavné obranné posolstvo je jednoduché a ľahko zapamätateľné: žiadna seriózna stránka ani chybová hláška vás nikdy nepožiada skopírovať a vložiť príkaz do okna Spustiť, do PowerShellu či do terminálu.
Ako sa brániť pred moderným phishingom
Moderné phishingové techniky si poradia s jednotlivými opatreniami, preto musí byť obrana vrstvená – naprieč identitou, konfiguráciou aj ľuďmi. Najrozhodnejším technickým krokom je prihlasovanie odolné voči phishingu.
Posilnite identitu a prihlasovanie
- Pre najdôležitejšie účty nasaďte passkeys alebo FIDO2. Sú kryptograficky naviazané na pravú adresu, takže prihlasovací údaj sa nedá zneužiť na AiTM proxy ani v okne browser-in-the-browser – toto je najsilnejšia odpoveď na krádež prihlasovacích údajov aj session tokenov.
- Tam, kde naďalej používate push MFA, zapnite number matching, ktorý otupí MFA fatigue útok.
- Nasaďte politiky podmieneného prístupu (conditional access) – obmedzte prihlásenia podľa súladu zariadenia, polohy či miery rizika, aby sa ukradnutý token relácie ťažšie zneužil.
- Obmedzte udeľovanie súhlasov OAuth aplikáciám, pri citlivých oprávneniach vyžadujte schválenie správcom a udelené súhlasy pravidelne revidujte.
Dolaďte e-mail a konfiguráciu
- Presadzujte SPF, DKIM aj DMARC (s politikou quarantine alebo reject), aby ste sťažili podvrhovanie domén.
- Skenujte prílohy a obrázky aj na vložené QR kódy a k externým výzvam SSO i prihlasovacím oknám pristupujte obozretne.
- Skráťte životnosť relácií a pri náznaku rizika tokeny okamžite zneplatnite.
Investujte do ľudí
Zamestnanci nie sú problém, ale súčasť riešenia – pod jednou podmienkou. Musia tieto techniky poznať skôr, než na ne narazia naostro. Keď človek vie, ako vyzerá AiTM útok, push bombing, BitB, quishing či ClickFix, jeho chvíľkové zaváhanie sa premení na nahlásenie namiesto kliknutia. Realistické a lokalizované phishingové simulácie spojené s krátkym školením priamo v okamihu omylu – napríklad cez platformu PhishGun – budujú merateľnú odolnosť a zároveň poskytujú dôkazy pripravené na audit pre rámce ako NIS2 a DORA. Komplexný pohľad nájdete v našom návode, ako predchádzať phishingu; cieleným útokom sa zasa do hĺbky venuje článok o spear phishingu a BEC.
Časté otázky
Ako dokáže phishing obísť dvojfaktorové overenie?
Najčastejšie cez AiTM útok (adversary in the middle). Útočník postaví medzi obeť a pravú službu proxy, ktorá v reálnom čase preposiela aj kódy MFA, a po prihlásení odchytí token relácie. S ním je už prihlásený a MFA má systém za splnené. Spoľahlivo to vyriešia len metódy odolné voči phishingu, teda passkeys a FIDO2.
Čo je AiTM (adversary-in-the-middle) útok?
AiTM je technika, pri ktorej útočník prevádzkuje reverznú proxy medzi používateľom a skutočnou službou, napríklad Microsoft 365. Obeť vidí pravú stránku a normálne sa prihlási, no proxy popri tom zachytí jej session token. Tým útočník získa okamžitý prístup do účtu, aj keď bolo zapnuté základné MFA.
Čo je MFA fatigue útok?
MFA fatigue útok (push bombing) je technika, pri ktorej útočník s už uneseným heslom opakovane spúšťa prihlásenia a zaplavuje telefón obete push notifikáciami. Po desiatkach výziev časť ľudí jednu odklepne, len aby mali pokoj. Pomáha number matching a pravidlo neočakávané výzvy vždy zamietnuť a nahlásiť.
Čo je ClickFix a ako funguje?
ClickFix je návnada sociálneho inžinierstva, ktorá zobrazí falošnú chybu alebo CAPTCHA a navedie obeť skopírovať a vložiť príkaz do okna Spustiť vo Windowse alebo do terminálu. Tento príkaz potom nainštaluje malvér. Pamätajte: žiadna seriózna stránka vás nikdy o vkladanie takýchto príkazov nepožiada.
Prečo sú QR kódy v e-mailoch rizikové (quishing)?
Pri quishingu útočník nahradí odkaz QR kódom. Bezpečnostné nástroje ho často vyhodnotia len ako obrázok a nepreskenujú, takže prejde cez filtre URL adries. Naskenovanie navyše presunie obeť na súkromný mobil mimo firemných ochrán. K neočakávaným QR kódom preto pristupujte rovnako opatrne ako k akémukoľvek odkazu.