Miljoona Phishing-as-a-Service-hyökkäystä kahdessa kuukaudessa kertoo nopeasti kehittyvästä uhkasta

Vuoden 2025 kahden ensimmäisen kuukauden aikana tietoturvayhtiö Barracudan tunnistusjärjestelmät estivät yli miljoona kalasteluhyökkäystä merkittäviltä Phishing-as-a-Service (PhaaS) -alustoilta. Uusi raportti hyökkäyksissä käytetyistä työkaluista ja tekniikoista kertoo siitä, kuinka PhaaS- eli kalastelu palveluna -alustat kehittyvät nopeasti entistä vaarallisemmiksi ja vaikeammin havaittaviksi. Monet hyökkäykset kohdistuvat suosittujen pilvipohjaisten alustojen, kuten Microsoft 365:n, käyttäjiin.

Suurin osa (89 %) havaituista hyökkäyksistä liittyi kehittyneeseen Tycoon 2FA -hyökkäykseen, jota seurasi EvilProxy (8 % hyökkäyksistä) ja uusi tulokas Sneaky 2FA, joka oli vastuussa 3 % tapauksista.

Kolmella alustalla on erilaiset ja erottuvat työkalut, mutta niillä on myös yhteisiä piirteitä, kuten Telegram-viestipalvelun käyttö hyökkäysten edistämiseen.

Tycoon 2FA kiertää tunnistusjärjestelmiä

Barracudan uhka-analyytikot raportoivat Tycoon 2FA:sta tammikuussa 2025. Sen jälkeen alusta on jatkanut kehittymistään ja parantanut välttelytaktiikoitaan, mikä tekee sen havaitsemisesta entistä vaikeampaa.

Tycoonin päivityksessä on nyt salattu ja hämärretty tunnistetietojen varastamiseen ja siirtämiseen käytettävä koodiskripti, joka hyödyntää korvaussalakirjoitusta sekä joskus näkymätöntä merkkiä.

Uusi ja paranneltu skripti pystyy tunnistamaan uhrin käyttämän selaimen tyypin, mikä mahdollistaa hyökkäysten mukauttamisen. Lisäksi se sisältää linkkejä Telegram-palveluun, jota voidaan käyttää varastettujen tietojen salakuljettamiseen hyökkääjille.

Skripti mahdollistaa myös verkkosivun osien päivittämisen erillään muusta sivusta. Se hyödyntää AES-salausta tunnistetietojen peittämiseksi ennen niiden siirtämistä etäpalvelimelle. Kaikki nämä toimenpiteet vaikeuttavat tietoturvatyökalujen mahdollisuuksia havaita hyökkäykset.

EvilProxy – vaarallisen helppokäyttöinen työkalu

EvilProxy-hyökkäysten toteuttaminen vaatii vain vähän teknistä osaamista. Se kohdistuu laajalti käytettyihin palveluihin, kuten Microsoft 365:een ja Googleen, huijaten uhrit syöttämään tunnistetietonsa näennäisesti laillisille kirjautumissivuille.

EvilProxyn käyttämä lähdekoodi muistuttaa suurelta osin alkuperäisen Microsoftin kirjautumissivun koodia, mikä tekee haitallisen sivuston erottamisesta aidosta huomattavan vaikeaa.

Sneaky 2FA täyttää kalastelulomakkeen uhrin puolesta

Vuoden 2025 alkukuukausina kolmanneksi merkittävin PhaaS-alusta oli Sneaky 2FA, joka on tarkoitettu niin sanottuihin "adversary-in-the-middle" (AiTM) -hyökkäyksiin. Se kohdistuu Microsoft 365 -tilien tunnistetietoihin ja pääsynhallintaan. Tycoon 2FA:n tavoin se hyödyntää Telegram-viestipalvelua.

Sneaky 2FA varmistaa ensin, että käyttäjä on oikea uhri eikä tietoturvatyökalu, botti tai muu vastatoimija. Jos uhri on jokin näistä, se ohjataan vaarattomalle sivulle. Tämän jälkeen hyökkäysalusta hyödyntää Microsoft 365:n "autograb"-toimintoa täyttääkseen uhrin sähköpostiosoitteen automaattisesti väärennetylle kirjautumissivulle.

Kalastelu palveluna muuttuu yhä monimutkaisemmaksi

"Phishing-as-a-Service -alustat ovat entistä monimutkaisempia ja vaikeammin havaittavia, mikä tekee kalasteluhyökkäyksistä sekä haastavampia perinteisille tietoturvatyökaluille että vahingollisempia uhreille," sanoo Barracudan Saravanan Mohankumar, johtaja, Threat Analysts.

"Edistynyt, monitasoinen puolustusstrategia, joka hyödyntää tekoälyä ja koneoppimista sekä yhdistää vahvan tietoturvakulttuurin ja johdonmukaiset tietoturvakäytännöt, auttaa suojaamaan organisaatioita ja työntekijöitä PhaaS-hyökkäyksiä vastaan."