Зачем рисовать подделки, когда оригинал сдают в аренду. Хакеры убили саму концепцию двухфакторной аутентификации
NewsMakerТеперь код подтверждения уходит грабителям без малейших задержек.
На подпольных площадках появился новый инструмент для фишинга под названием Starkiller, который в корне меняет механику кражи учётных данных. Вместо создания поддельных страниц входа злоумышленники используют реальные сайты и транслируют их в режиме реального времени через свою инфраструктуру. Такой подход позволяет перехватывать логины, пароли и одноразовые коды, обходя многофакторную аутентификацию и затрудняя обнаружение атаки.
Проект продвигает группировка Jinkusu, позиционируя его как коммерческую платформу по модели SaaS. Разработчики подчёркивают высокий процент успешных атак и регулярно обновляют продукт. При этом инструмент не связан с легальным одноимённым решением компании BC Security.
В основе схемы лежит запуск браузера Chrome в режиме без графического интерфейса внутри контейнера Docker. Оператор указывает адрес сайта целевого бренда, после чего система разворачивает окружение и загружает подлинную страницу входа. Дальше инфраструктура злоумышленников начинает работать как обратный прокси , передавая данные между жертвой и настоящим сайтом. Весь трафик проходит через сервер атакующих, что даёт им доступ к учётным данным, cookie и токенам сессии.
Поскольку пользователь фактически авторизуется на реальном ресурсе, одноразовые коды и другие элементы многофакторной защиты уходят на легитимный сервис без задержек. В ответ злоумышленники получают действующие сессионные данные и могут войти в учётную запись, не ломая сам механизм MFA. Такой подход лишает традиционные средства детектирования возможности опираться на анализ шаблонов страниц — поддельного HTML здесь просто нет.
На подпольных площадках появился новый инструмент для фишинга под названием Starkiller, который в корне меняет механику кражи учётных данных. Вместо создания поддельных страниц входа злоумышленники используют реальные сайты и транслируют их в режиме реального времени через свою инфраструктуру. Такой подход позволяет перехватывать логины, пароли и одноразовые коды, обходя многофакторную аутентификацию и затрудняя обнаружение атаки.
Проект продвигает группировка Jinkusu, позиционируя его как коммерческую платформу по модели SaaS. Разработчики подчёркивают высокий процент успешных атак и регулярно обновляют продукт. При этом инструмент не связан с легальным одноимённым решением компании BC Security.
В основе схемы лежит запуск браузера Chrome в режиме без графического интерфейса внутри контейнера Docker. Оператор указывает адрес сайта целевого бренда, после чего система разворачивает окружение и загружает подлинную страницу входа. Дальше инфраструктура злоумышленников начинает работать как обратный прокси , передавая данные между жертвой и настоящим сайтом. Весь трафик проходит через сервер атакующих, что даёт им доступ к учётным данным, cookie и токенам сессии.
Поскольку пользователь фактически авторизуется на реальном ресурсе, одноразовые коды и другие элементы многофакторной защиты уходят на легитимный сервис без задержек. В ответ злоумышленники получают действующие сессионные данные и могут войти в учётную запись, не ломая сам механизм MFA. Такой подход лишает традиционные средства детектирования возможности опираться на анализ шаблонов страниц — поддельного HTML здесь просто нет.