Ny tjeneste lar svindlere stjele innlogging og MFA via falske sider

Falske sider som lurer ofre på ekte nettsider

De fleste phishing-sider er statiske kopier av innloggingssider for populære tjenester, og blir ofte raskt tatt ned av sikkerhetseksperter. Men en ny phishing-as-a-service-løsning, kalt Starkiller, lar kriminelle omgå begge disse problemene ved å bruke ekte nettsider som bakteppe.

Tjenesten genererer villedende lenker som ser ut som de kommer fra legitime domener, men som i realiteten leder trafikken gjennom angriperens infrastruktur. For eksempel kan en lenke som ser ut som «login.microsoft.com@[skadelig/kortere URL]» føre offeret til en falsk side som lastes inn fra en .ru-domene.

Slik fungerer Starkiller

Etter at kunden velger hvilken tjeneste de ønsker å phishe (for eksempel Apple, Facebook, Google eller Microsoft), genererer Starkiller en URL som visuelt etterligner det legitime domenet. Når offeret klikker på lenken, lastes den ekte innloggingssiden inn via en Docker-container som kjører en headless Chrome-instans. Denne containeren fungerer som en man-in-the-middle-proxy, som videresender offerets tastetrykk og innloggingsdata til den ekte nettsiden og returnerer responsene.

Ifølge sikkerhetsfirmaet Abnormal AI, som har analysert tjenesten, logger Starkiller hver eneste tastetrykk, skjemainnsending og sesjonstoken. Dette gir angriperne muligheten til å:

• Overvåke offerets skjerm i sanntid
• Stjele informasjonskapsler og sesjonstokens for direkte kontoovertakelse
• Spor offerets geografiske plassering
• Få varsler på Telegram når nye innloggingsopplysninger kommer inn

MFA-angrep blir enda farligere

Starkiller skiller seg ut ved at den også kan fange opp flerfaktorautentiseringskoder (MFA). Når offeret logger inn på den ekte nettsiden via proxyserveren, blir MFA-koden sendt direkte til angriperen. Dette gjør det mulig for kriminelle å ta full kontroll over offerets konto, selv med MFA aktivert.

Tjenesten tilbyr også kampanjemålinger, inkludert antall besøk, konverteringsrater og ytelsesgrafer – lignende det man finner i vanlige SaaS-plattformer. Dette gjør det lettere for kriminelle å optimalisere sine phishing-angrep.

«Hver tastetrykk, skjemainnsending og sesjonstoken passerer gjennom angriperens infrastruktur og blir logget underveis.»
Callie Baron og Piotr Wojtyla, Abnormal AI

Hvordan beskytte seg mot slike angrep

For å unngå å bli offer for slike avanserte phishing-angrep, anbefaler eksperter følgende tiltak:

• Vær skeptisk til lenker – Sjekk alltid URL-en før du klikker, spesielt hvis den inneholder spesielle tegn som «@».
• Bruk tofaktorautentisering (2FA) med varsler – Noen tjenester tilbyr varsler ved nye innlogginger, noe som kan avsløre mistenkelig aktivitet.
• Hold programvare oppdatert – Sikkerhetsoppdateringer kan beskytte mot kjente sårbarheter som slike angrep utnytter.
• Bruk passordbehandlere – Disse kan advare deg hvis du blir sendt til en mistenkelig nettside.