כלי פישינג חדשים מציבים אתגר קשה לארגונים

תמונה: pixabay

פלטפורמת הפישינג Tycoon2FA, אחת המדוברות בזירת Phishing-as-a-Service (PhaaS), חיזקה לאחרונה את יכולות ההתחמקות שלה — כך עולה מדיווח חדש שפורסם על ידי חברת Trustwave. הפלטפורמה שהתגלתה לראשונה באוקטובר 2023 על ידי חוקרי Sekoia, נודעה ביכולתה לעקוף מנגנוני אימות רב-שלבי (MFA) עבור חשבונות Microsoft 365 ו-Gmail. לפי ממצאי Trustwave, עדכונים אחרונים שהוזרמו לפלטפורמה הופכים אותה למתוחכמת יותר ומקשים עוד יותר על זיהוי תשתיות הפישינג וסיכולן.

החידושים של Tycoon2FA

המפעילים של Tycoon2FA שילבו טכניקה להסתרת מידע בינארי באמצעות תווי Unicode בלתי נראים בתוך קובצי JavaScript. טכניקה זו מאפשרת לקוד הזדוני לפעול באופן רגיל בזמן אמת, תוך שהוא מתחמק ממנגנוני זיהוי סטטיים ומבדיקות ידניות. בנוסף, הפלטפורמה עברה להשתמש בפתרון CAPTCHA עצמי, המתארח על שרתים מקומיים ומיושם באמצעות HTML5 Canvas עם אלמנטים אקראיים, במקום להסתמך על פתרונות חיצוניים דוגמת Cloudflare Turnstile. מהלך זה מקשה על מערכות סינון מבוססות דירוג דומיינים לזהות את פעילות המתקפה ומאפשר שליטה רבה יותר על תוכן עמודי ההתחזות.

הפלטפורמה כוללת כעת גם קוד JavaScript ייעודי שמטרתו לזהות ולהכשיל כלים אוטומטיים המשמשים לניתוח ואיתור מתקפות, דוגמת PhantomJS ו-Burp Suite. כאשר מזוהה פעילות חשודה או כאשר פתרון ה-CAPTCHA נכשל — דבר העשוי להעיד על ניסיון סריקה על ידי בוטי אבטחה — המשתמש מנותב לעמוד הסחה לגיטימי, למשל לאתר כמו rakuten.com, כדי לטשטש את עקבות הפעילות הזדונית. אף שטכניקות אלו אינן מהפכניות כל אחת בפני עצמה, השילוב ביניהן הופך את מתקפות הפישינג למאתגרות הרבה יותר לאיתור, ניתוח וסיכול. שילוב זה מדגים את האבולוציה המהירה של פלטפורמות PhaaS ואת הצורך בפתרונות הגנה מותאמים.

בדוח נוסף, מציינת Trustwave כי חלה עלייה חדה ומשמעותית במתקפות פישינג מבוססות קובצי SVG (Scalable Vector Graphics). בין אפריל 2024 למרץ 2025 נרשמה קפיצה של 1,800% בשימוש בקבצים מהסוג הזה, מגמה שמזוהה בעיקר עם פלטפורמות כמו Tycoon2FA, Mamba2FA ו-Sneaky2FA. קבצי SVG אלו מתחזים ללוגואים, להודעות קוליות או לאייקונים של שירותי ענן, אולם בפועל הם כוללים קוד JavaScript זדוני שמופעל באופן אוטומטי עם טעינת התמונה בדפדפן.

הקוד המוטמע בקבצים אלו מוסווה באמצעות טכניקות קידוד והצפנה שונות, כגון Base64, ROT13 ו-XOR, מה שמקשה על מערכות ההגנה לזהות את האיום בזמן אמת. הקוד הזדוני מפנה את הקורבן לעמודי התחזות של Microsoft 365, שם מתבצעת גניבת פרטי ההתחברות של המשתמש.

דוגמה להתקפה כזו שהובאה בדוח מתארת הודעת דוא"ל מזויפת המתחזה להתרעת הודעה קולית מ-Microsoft Teams. בהודעה צורף קובץ SVG שהוצג כאילו מדובר בקובץ שמע, אולם בלחיצה עליו הופעל דפדפן חיצוני שהפנה לעמוד התחברות מזויף.

אז איך להתגונן?

בין היתר מומלץ לחסום או לסמן קבצי SVG חשודים במערכות שערי הדואר האלקטרוני, ולעבור לשימוש באמצעי אימות רב-שלבי העמידים בפני מתקפות פישינג, כמו התקני FIDO2. בנוסף, יש לעודד את המשתמשים לבדוק בקפדנות את זהות השולחים ואת טיב הקבצים המצורפים.

ההתפתחויות האחרונות בזירת הפישינג מדגישות עד כמה חשוב לשלב בין טכנולוגיות מתקדמות, נהלי הגנה קפדניים והגברת מודעות המשתמשים, כדי להתמודד עם איומים שהולכים ונעשים מתוחכמים וממוקדים יותר.