Представи си следното. Член на екипа ти получава имейл, който изглежда идентичен с екрана за вход в Microsoft 365. Въвежда паролата си. Телефонът вибрира с MFA код. Въвежда го. Страницата се зарежда. Всичко изглежда нормално.
Само че не е нормално. Всяко натискане на клавиш се изпълнява в браузър, контролиран от атакуващ някъде другаде. Паролата, MFA кодът, цялата удостоверена сесия. Всичко се предава в реално време на някой, който вече контролира акаунта. Нямаха никакъв шанс.
Това е BlueKit. И работи в момента.
Какво е BlueKit и защо е различен?
BlueKit е Phishing-as-a-Service платформа, която стана напълно оперативна тази седмица, а Netcraft откри около 70 активни hostname-а за една седмица. Това не е пилотен проект. Това е мащаб. Продава се като абонаментна услуга на престъпници, което означава, че не се изискват никакви технически умения. Всеки с кредитна карта може да я използва.
Това, което прави BlueKit различен от познатите phishing kits, е техниката. Традиционните adversary-in-the-middle инструменти като Evilginx използват reverse proxy, който предава токени между жертвата и реалния сайт. BlueKit използва нещо, наречено Browser-in-the-Middle (BitM). Той стриймва действителната, легитимна страница за вход в Microsoft от браузър, който атакуващият контролира. Жертвата взаимодейства с напълно реална страница. Атакуващият вижда всичко в реално време. MFA кодове, нулиране на пароли, session cookies. Всичко.
Използва open-source библиотека, наречена rrweb, за да записва и възпроизвежда цялата браузър сесия. Мисли за това като screen recording за phishing.
Реална Microsoft 365 страница за вход, рендерирана в браузъра на атакуващия чрез BlueKit. За жертвата всеки пиксел изглежда идентичен с легитимния Microsoft вход.
Това не е нова уязвимост. Няма пач, който Microsoft да пусне. Уязвимостта е в самата архитектура на MFA, когато разчита на нещо, което човек може да въведе или копира.
Какво означава това за бизнеса ти
Ако използваш Microsoft 365 (а почти всяка малка и средна компания го прави), MFA на екипа ти е архитектурно уязвима към тази атака. SMS кодове, кодове от authenticator приложения, дори push известия. Нищо от това не спира BlueKit. В момента, в който потребител въведе или одобри нещо на страница, контролирана от атакуващия, сесията е компрометирана.
Това също означава, че стандартното обучение за разпознаване на фишинг, макар и все още важно за други заплахи, няма да спре това. Страниците на BlueKit изглеждат напълно легитимни, защото са легитимни. Те са реални страници за вход в Microsoft, стриймвани в реално време. Не можеш да обучиш някого да разпознае фалшива страница, когато страницата не е фалшива.
BlueKit също така използва многослойна система за избягване на откриване. Той пуска custom CAPTCHA, която имитира легитимни услуги като Cloudflare, сменя JavaScript при всяко зареждане на страницата и дори използва WebRTC, за да открива изследователи по сигурността, които се опитват да го анализират през проксита или VPN-и.
Custom CAPTCHA на BlueKit, имитираща Cloudflare. HTML структурата се променя при всяко зареждане на страницата, за да избегне hash-based откриване.
Какво всъщност те защитава
Единствената надеждна защита срещу Browser-in-the-Middle атаки са hardware-bound passkeys (FIDO2). Ето защо: FIDO2 използва криптография с публичен ключ, обвързана с физическо устройство. Ключът никога не напуска хардуера. Когато член на екипа ти се удостоверява, браузърът изпълнява криптографско предизвикателство, което атакуващият не може да прихване, предаде или възпроизведе. Няма какво да се въвежда, няма какво да се копира, няма какво да се стриймва.
- FIDO2 хардуерни ключове (като YubiKeys) са златният стандарт. Те блокират BitM атаките напълно.
- Windows Hello и Apple Face ID (platform authenticators) са по-добри от SMS, но все още уязвими в browser-in-the-middle сценарии, ако не са правилно конфигурирани.
- SMS кодове, authenticator app кодове и push известия. Всички са уязвими за този тип атаки.
Ако внедряването на хардуерни ключове за целия екип ти звучи скъпо, започни с акаунтите, които биха причинили най-голяма щета: финанси, администрация, IT и всеки с привилегирован достъп до клиентски данни. Дори защитаването на тези 3-5 акаунта променя драстично рисковия ти профил.
Не си сигурен кои акаунти са най-застрашени от този тип атака?
Запази 15-минутен MFA одит
Ще картографираме текущата ти настройка, ще идентифицираме най-уязвимите акаунти и ще ти кажем точно какво да приоритизираш. Без продажби, само план.