Интереснейшая статья о spear-phishing атаках иранских хакеров, близких к Islamic Revolutionary Guard Corps (IRGC) против активистов, журналистов и представителей госорганов США. Интересная она прежде всего тем, что в атаках применялись методики, позволяющие обходить двухфакторную аутентификацию, установленную пользователями на учетных записях Gmail и Yahoo. Если вкратце, то нападающие злоумышленники мониторили с помощью встроенного в письма невидимого изображения открытие письма (поскольку атака была направлена на конкретного человека, это облегчало мониторинг). Если жертва повелась на полученное письмо, и начинала вход путем ввода логина и пароля, то при вводе пароля в фейковую страницу нападающие тут же получали логин и пароль. Они тут же вводили полученные реквизиты учетной записи в настоящую страницу. Если при логине показывался запрос на двухфакторную аутентификацию, атакующие тут же перенаправляли жертву на такую же, но фейковую страницу для ввода одноразового пароля, и после этого перехватывали и вводили у себя полученный одноразовый код.

В статье говорится, что были зафиксированы методы успешного фишинга в случае с 2FA кодами, полученными жертвами по SMS. Особенно помогало успешности атак то, что страницы постились на sites.google.com, и использовали адреса notifications.mailservices@gmail.com и noreply.customermails@gmail.com, что для большинства пользователей выглядит достаточно убедительно. Подтвержденных случаев успеха с 2FA-кодами из аутентификационных приложений вроде как нет, по словам Certfa Lab, но, судя по схеме, ничего не мешает в случае такой атаки перехватить и их. В реальности от таких направленных атак могут защитить только аппаратные ключи безопасности (вот как это работает для Google). Большинству читателей канала, наверно, пока не стоит беспокоиться, вряд ли вы или я станем целью такой направленной атаки, но меня беспокоит то, что этот механизм вполне может быть автоматизирован в будущем, и тогда без ключа будет уже никуда. Chrome поддерживает ключи уже давно, Safari скоро тоже подтянется, а если вы действительно беспокоитесь о безопасности своего почтового аккаунта Gmail, рассмотрите вариант с Advanced Protection Program.

Первоисточник с огромным количеством деталей об атаках:
https://blog.certfa.com/posts/the-return-of-the-charming-kitten/

Забавно, что статья называется “Возвращение очаровательных котят”, потому что методика и сервера, использованные для атаки, очень похожи на деятельность хакерской группировки Charming Kittens, и авторы расследования делают вывод, что это они и есть. Хорошее название у группировки.