Taggat med: gmail

Tycoon phishing-as-a-service (PhaaS)

phishing

Tycoon är en attack som riktar sig mot GMail och Office 365-inloggningar som använder sig av MFA, multifaktorsautentisering.

Tycoon fungerar som en phishing-as-a-service (PhaaS)-plattform och underlättar för cyberkriminella att lägga sig som en mellanhand vid inloggningar och därmed kringgå det skydd som MFA ger. Denna typ av attack går också under samlingsnamnet adversary-in-the-middle (AitM).

Just denna PhaaS är den som är mest aktiv och uppdaterades nyligen att bli ännu mer effektiv. Det har identifierats minst 1100 olika domäner där denna attack återfinnes.

Tycoon 2FA bypass

Bild från Sekoia

Attacken som stjäl sessions-cookies efter användaren autentiserat sig med användarnamn, lösenord och en ytterligare faktor ser ut enligt följande steg:

  1. Angriparna sprider skadliga länkar via e-postmeddelanden med inbäddade webbadresser eller QR-koder, vilket lurar offren att surfa till en phishing-sida
  2. En säkerhetsutmaning (Cloudflare Turnstile) filtrerar bort bottar och tillåter endast mänskliga interaktioner att fortsätta till den bedrägliga phishing-sidan
  3. Bakgrundsprogram extraherar offrets e-post från webbadressen för att anpassa phishing-attacken
  4. Användarna omdirigeras till en annan del av phishing-sidan, vilket flyttar dem närmare den falska inloggningssidan
  5. Denna fas presenterar en falsk Microsoft-inloggningssida för att stjäla inloggningsuppgifter, med hjälp av WebSockets
  6. Kittet imiterar en 2FA-utmaning och fångar upp 2FA-token eller svar för att kringgå säkerhetsåtgärder
  7. Slutligen riktas offren till en legitimit utseende sida, vilket döljer phishing-attackens framgång

Denna typ av attacker är en katt och råtta-lek där tjänsteleverantörerna blir bättre och bättre på att upptäcka och försvåra AitM-attacker.

Andra snarliknande phishing-kit heter: Dadsec OTT, Caffeine, NakedPages och Greatness. Jag har tidigare bloggat om metoder för att ta sig förbi MFA/2FA här.

Google släpper E2EMail

Google har länge satsat på olika lösningar för End-to-end kryptering. Flertalet av dessa bygger på Googles JavaScript-biblioteket med namnet End-to-end och återfinnes på Github.

E2EMail har utvecklats som ett Chrome-plugin ovanpå End-to-end och har nu kopplat sina trådar till Google. Detta för att End-to-end ska vara ett community-baserat plugin och inte enbart något som Google handhar, vilket också är bra för säkerheten att fler engagerar sig och utvecklar vidare.

Tyvärr så är PGP inte lätt att använda och det är lätt att göra fel vilket E2EMail hjälper till med. Utvecklingen av E2EMail har pågått under tre års tid och är även tänkt att hjälpa GMail användare att skicka och ta emot krypterad E-post.

Än så länge finns inte E2EMail i Chrome Web Store utan du måste själv clona Github-repot och kompilera koden.

För att installera genomför följande steg:

$ git clone https://github.com/e2email-org/e2email
$ cd e2email
$ ./do.sh setup
$ ./do.sh build

Sedan så ligger det en Chrome-extension under mappen build/e2email som du installerar i Chrome genom att gå in under Settings -> Extensions och slå på Developer Mode. Där väljer du sedan Load unpacked extension och välj den extension du just kompilerade.

Ny riktad cyberattack använder Adobe Flash Player

adobe-flash-player-bug

En ny riktad cyberattack har upptäckts av Google Threat Analysis Group. Attacken använder sig av en sårbarhet i Adobe Flash Player och har fått CVE-2016-7855.

Operativsystem som är såbara för denna nya säkerhetsbrist är Flash Player under Windows, Linux, samt Mac OS X. Även den medföljande Flash-spelaren i Chrome OS samt Edge/Internet Explorer 11 är sårbar.

Detta är inte första gången detta år som zero-days har uppdagats i Flash, för Adobe släppte kritiska uppdateringar även i April, Maj och Juni. Denna uppdatering ligger således utanför Flash Players regelbundna uppdateringscykel. Denna säkerhetsbrist är en såkallad use-after-free sårbarhet.

Även CERT-SE vid Myndigheten för samhällsskydd och beredskap rekommenderar en skyndsam uppgradering.

Såbarheten är åtgärdad i version 23.0.0.205 samt 11.2.202.643 till Linux. För mer info se Adobes webbsida.

Det är i dagsläget oklart hur Google uppdagade denna sårbarhet men troligtvis så har Google system och metoder för att upptäcka zero-days mot riktas mot dem eller fastnar i dess sensor-nätverk. Google Mail (GMail) genomför exempelvis antivirus-skanning på samtliga bilagor.

Ny attack mot Googles tvåfaktorsautentisering (2FA)

Google 2fa

En ny attack som försöker lura användare att skicka vidare sin unika 2FA-inloggningskod (token) har uppdagats av Alex MacCaw på Clearbit. Just denna attack försöker lura användare av Googles tjänster såsom Gmail.

Allt eftersom fler och fler börjar att använda 2FA så kommer även denna typ av attacker att bli allt vanligare.

Skärmdump på hur meddelandet kan se ut:

Google 2FA Attack

Till Android har det även rapporterats tidigare om skadlig kod som automatiskt kan skicka vidare SMS. Detta skrev ESET om i Mars 2016.

Kryptera din E-post (mailkryptering) med PGP

När det gäller kryptering av E-post så finns det en uppsjö med olika verktyg och hjälpmedel för att underlätta detta. Ett av de vanligaste och mest populära krypteringsmetoderna heter PGP och uppfanns av Phil Zimmermann 1991.

PGP är ett såkallad hybridkrypto och använder sig av två olika krypton samt så har PGP även två stycken nycklar varav en är privat och en är publik.

För att komma igång och använda PGP så rekommenderar vi att du använder Mozilla Thunderbird med insticksmodulen Enigmail. Samt så måste du även ladda hem och installera GnuPG: gnupg.org/download

Du behöver även skapa denna publika och privata nyckel och den publika delar du sedan med dig till andra som vill kunna skicka krypterad E-post till dig.

Webbleverantören Loopia har även skrivit om E-postkryptering på sin blogg: blogg.loopia.se/?p=46

Använder du Google GMail och vill kryptera din E-post så installerar du först GnuPG och sedan FireGPG. Se även till att surfa till https:// versionen framför den icke-krypterade versionen http://