Η ασφάλεια του ψηφιακού μας ταχυδρομείου δέχθηκε ένα ισχυρό πλήγμα, καθώς ερευνητές της Koi Security αποκάλυψαν μια εξελιγμένη επίθεση που εκμεταλλεύτηκε το επίσημο κατάστημα εφαρμογών της Microsoft. Το πρόσθετο με την ονομασία “AgreeTo”, το οποίο είχε σχεδιαστεί για τη διαχείριση ημερολογίων, μετατράπηκε σε παγίδα θανάτου για πάνω από 4.000 χρήστες. Οι επιτιθέμενοι κατάφεραν να αποκτήσουν τον έλεγχο του domain που συνδεόταν με την εφαρμογή, μετατρέποντας μια κάποτε χρήσιμη υπηρεσία σε εργαλείο μαζικής υποκλοπής διαπιστευτηρίων.
Το πρόβλημα ξεκίνησε όταν οι δημιουργοί του “AgreeTo” εγκατέλειψαν το project, αφήνοντας το domain της εφαρμογής να λήξει. Οι χάκερ, παραμονεύοντας για τέτοιες ευκαιρίες, αγόρασαν το domain και διοχέτευσαν μέσω αυτού ένα phishing kit. Επειδή το πρόσθετο ήταν ήδη εγκεκριμένο και ψηφιακά υπογεγραμμένο από τη Microsoft από το 2022, τα συστήματα ασφαλείας δεν υποψιάστηκαν την παραμικρή αλλαγή, επιτρέποντας στους εισβολείς να δρουν ανενόχλητοι μέσα στο περιβάλλον του Outlook.
Η μέθοδος AgreeToSteal και ο κίνδυνος των δικαιωμάτων
Η επίθεση, η οποία ονομάστηκε AgreeToSteal, λειτουργούσε με εξαιρετική πονηριά. Όταν ένας χρήστης αλληλεπιδρούσε με το πρόσθετο, του παρουσιαζόταν μια ψεύτικη σελίδα σύνδεσης της Microsoft. Οι κωδικοί που πληκτρολογούνταν στέλνονταν άμεσα στους χάκερ μέσω του Telegram Bot API. Το πιο τρομακτικό στοιχείο, ωστόσο, δεν ήταν μόνο η κλοπή του κωδικού, αλλά τα δικαιώματα “ReadWriteItem” που διέθετε το πρόσθετο. Αυτό σημαίνει ότι οι επιτιθέμενοι είχαν τη δυνατότητα να διαβάζουν και να τροποποιούν τα email των θυμάτων, ανοίγοντας την πόρτα για περαιτέρω κατασκοπεία ή οικονομικές απάτες.
Η περίπτωση αυτή αναδεικνύει ένα τεράστιο κενό στη διαχείριση των εφαρμογών τρίτων από τη Microsoft. Παρόλο που η αρχική έγκριση είναι αυστηρή, δεν φαίνεται να υπάρχει περιοδικός έλεγχος του περιεχομένου που σερβίρουν αυτά τα πρόσθετα από εξωτερικούς servers. Έτσι, μια εφαρμογή που θεωρήθηκε ασφαλής πριν από τρία χρόνια, μπορεί σήμερα να αποτελεί τον μεγαλύτερο κίνδυνο για την ιδιωτικότητα του χρήστη, χωρίς η πλατφόρμα να το αντιληφθεί έγκαιρα.
Πώς να προστατευτείτε από τις «Σκιώδεις» εφαρμογές
Η αποκάλυψη αυτή έχει προκαλέσει έντονες αντιδράσεις στην κοινότητα των ειδικών κυβερνοασφάλειας, οι οποίοι συμβουλεύουν τους χρήστες να είναι εξαιρετικά προσεκτικοί με τα πρόσθετα που εγκαθιστούν. Είναι απαραίτητο να ελέγχετε τακτικά τη λίστα με τα add-ins στο Outlook και να αφαιρείτε οτιδήποτε δεν χρησιμοποιείτε ή προέρχεται από προγραμματιστές που δεν φαίνονται πλέον ενεργοί. Η χρήση του ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) παραμένει το σημαντικότερο ανάχωμα, καθώς μπορεί να αποτρέψει την είσοδο του χάκερ ακόμα και αν ο κωδικός έχει υποκλαπεί.
Η Microsoft από την πλευρά της δέχεται πιέσεις να αναθεωρήσει τον τρόπο με τον οποίο εποπτεύει το Marketplace της. Η ανάγκη για αυτοματοποιημένους ελέγχους που θα εντοπίζουν αλλαγές στην ιδιοκτησία των domains ή ύποπτη δραστηριότητα σε πραγματικό χρόνο είναι πλέον επιτακτική.
Μέχρι τότε, η ευθύνη βαραίνει τον χρήστη, ο οποίος πρέπει να θυμάται ότι στην ψηφιακή εποχή, ακόμα και μια «υπογραφή εμπιστοσύνης» μπορεί να κρύβει πίσω της έναν ψηφιακό εγκληματία.
