Friss kutatások szerint a kiberbűnözők egy új, kifinomult módszert fedeztek fel, amely során a Cisco egyik megbízható biztonsági megoldását – a Cisco Safe Links szolgáltatást – használják fel adathalász kampányokhoz. A Raven AI biztonsági cég által azonosított technika rávilágít egy veszélyes trendre, mégpedig arra, hogy a támadók egyre gyakrabban fordítják a megbízhatónak hitt védelmi rendszereket a felhasználók ellen.
A bizalom kizsákmányolása, mint támadási mechanizmus
Az új módszer kulcsa egy alapvető pszichológiai és technológiai gyengeség: a bizalom. A legtöbb felhasználó, amikor egy olyan URL-t lát, amely a következővel kezdődik: secure-web.cisco.com, automatikusan feltételezi, hogy az adott link megbízható, hiszen a „secure” (biztonságos) és a „Cisco” (egy jól ismert IT-biztonsági márka) szavak biztonságérzetet keltenek. Ez a feltétlen bizalom azonban nemcsak a felhasználókra, hanem az automatizált biztonsági rendszerekre is jellemző. Sok szervezet email szűrői és hálózati védelmi megoldásai automatikusan átengedik a Cisco-brandelt domaineket, különösebb ellenőrzés nélkül.
Mi is az a Cisco Safe Links?
A Cisco Safe Links a Secure Email Gateway és a Web Security megoldások része, amely úgy működik, hogy az e-mailekben található URL-eket átírja, és minden forgalmat először a Cisco saját fenyegetéselemző rendszeréhez irányít, mielőtt a felhasználót az eredeti céloldalra továbbítja. Ez a technológia alapvetően számos adathalász támadást hárított már el, egészen mostanáig.
Hogyan fordítják visszájára a technológiát a támadók?
A Raven AI kutatói négy fő módszert azonosítottak, amelyek segítségével a támadók képesek valódi Cisco Safe Linkeket generálni rosszindulatú célokra:
- Fertőzött fiókok használata a Cisco általvédett szervezetekben: A támadók hozzáférést szereznek egy belső fiókhoz, majd maguknak küldenek rosszindulatú linkeket, amelyeket a rendszer automatikusan átalakít Safe Link formátumra.
- SaaS szolgáltatások kihasználása: A támadók olyan SaaS platformokat használnak, amelyek Cisco által védett környezeteken keresztül küldenek e-maileket.
- Korábbi kampányokból származó linkek újrahasznosítása: Már meglévő, működő Safe Linkek „újracélzása” más kampányokhoz.
- Automatizált rendszerek manipulálása: Egyes rendszerek anélkül generálnak Safe Linkeket, hogy bármilyen felhasználói interakció szükséges lenne, ez szintén kihasználható.
A Raven AI élőben azonosította a támadást
A Raven AI által azonosított adathalász kampány egy „Dokumentum-ellenőrzési kérés” látszatát keltette, és egy jól ismert e-aláírás szolgáltató arculati elemeit használta. Az e-mail professzionális benyomást keltett, így nehéz volt megkülönböztetni egy valódi üzleti üzenettől. A kampány során a rosszindulatú linkek Cisco Safe Link formátumban jelentek meg, amelyeket a legtöbb hagyományos szűrő nem észlelt veszélyként. A támadók úgy rejtették el a káros tartalmakat, hogy a technikai elemzés során minden legitimnek tűnt, a valódi veszély a környezetből és a viselkedésből volt levezethető, nem pedig az URL technikai jellemzőiből. A Raven AI rendszerei képesek voltak azonosítani a rendellenességeket, mivel kontextuális és üzleti folyamatokkal kapcsolatos anomáliákat vizsgálnak, nem csupán technikai szignatúrákat vagy domain-hírnevet.
Miért nem elegendők a hagyományos biztonsági megoldások?
A legtöbb hagyományos emailbiztonsági rendszer a következő tényezők alapján működik:
- URL vagy domain alapú reputáció (hírnév)
- Fekete- vagy fehérlisták
- Szignatúra alapú fenyegetésfelismerés
Ezek a megközelítések azonban alulmaradnak az olyan támadásokkal szemben, amelyek:
- Bejáratott, hiteles infrastrukturát használnak (pl. Cisco linkek)
- Professzionális arculattal operálnak
- Nem mutatnak klasszikus technikai gyanújeleket
Ez a jelenség egy alapvető elmozdulást jelez a kiberbiztonsági fenyegetések természetében: a támadók nem technikai sebezhetőségeket, hanem bizalomra és üzleti folyamatokra épülő kapcsolati réseket használnak ki.
A jövő: kontextus alapú, mesterséges intelligencián alapuló védelem
A támadások hatására egyre nyilvánvalóbbá válik, hogy a kontextus-alapú AI megközelítés jelenti majd a hatékony védelmet. Az igazán modern megoldásoknak nemcsak a technikai jellemzőket kell elemezniük, hanem:
- A kommunikáció üzleti logikáját
- A felhasználói viselkedés mintázatait
- Az üzenetek szándékát
A Cisco Safe Links elleni támadás jól mutatja, hogy a bizalom manipulálása új, komoly veszélyt jelent a kiberbiztonságban. Ahogy a támadók egyre ügyesebben használják ki a megbízhatónak vélt infrastruktúrát, úgy a szervezeteknek is fejlődniük kell, és intelligensebb, viselkedésalapú védelmi rendszerekre kell támaszkodniuk. A jövő nem a „rossz linkek” blokkolásáról szól, hanem az összefüggések megértéséről és azonosításáról.
