Традиционные фишинг-сайты представляют собой статичные копии страниц авторизации популярных сервисов, которые быстро блокируют киберзащитники и компании безопасности. Но новая услуга фишинга изменила правила игры, позволяя злоумышленникам обходить обе эти защиты одновременно.
Сервис под названием Starkiller использует замаскированные ссылки для загрузки настоящего веб-сайта целевого бренда, а затем выступает промежуточным звеном между жертвой и легитимным сайтом. При этом он перехватывает учётные данные пользователя, пароль и код многофакторной аутентификации (MFA), отправляя их на законный сервис и возвращая ответы жертве.
Такой подход делает фишинг-атаку значительно более опасной. Во-первых, жертва видит подлинный интерфейс целевого сервиса, что повышает доверие к сайту. Во-вторых, поскольку запросы идут через реальный сервис, обнаружение становится затруднённым — системы безопасности видят легитимный трафик с корректными учётными данными.
Главное преимущество Starkiller в том, что он создаёт иллюзию безопасности даже при наличии двухфакторной аутентификации. Жертва вводит пароль и получает код подтверждения на свой номер телефона, но код попадает в руки злоумышленников, которые используют его для получения доступа к аккаунту.
Это представляет серьёзную угрозу для организаций и пользователей, полагающихся на MFA как на достаточную защиту. Специалисты по кибербезопасности рекомендуют дополнительные меры, такие как аппаратные ключи безопасности, обучение сотрудников распознаванию атак и мониторинг подозрительной активности в аккаунтах.