Platform-as-a-Proxy – trójai a SaaS-ban
A Cisco Talos egy új, gyorsan terjedő támadási módszert mutat be, amelyben a támadók a SaaS platformok, így GitHub és Atlassian értesítési infrastruktúráját fegyverként használják phishing kampányokhoz. A támadás lényege, hogy a rosszindulatú tartalom nem közvetlenül a támadó infrastruktúrából érkezik, hanem a platformok saját, megbízható e-mail rendszerein keresztül kerül kiküldésre, így megkerülve a hagyományos e-mail biztonsági szűrőket.
A módszer alapja a Platform-as-a-Proxy modell, ahol a támadók kihasználják a SaaS rendszerek beépített funkcióit. Például GitHub esetén hamis repository-kat hoznak létre, majd commit üzenetekbe ágyazzák a social engineering tartalmat. Ezek a commitok automatikusan értesítési e-maileket generálnak, amelyek teljesen legitim forrásból érkeznek, így megfelelnek az SPF, DKIM és DMARC ellenőrzéseknek.
A kampányok elsődleges célja a credential harvesting, amely későbbi támadások, fiókátvétel vagy BEC előfeltétele. A technika hatékonyságát az adja, hogy a támadók nem a védelmi rendszereket támadják, hanem a bizalmi modellt használják ki, amely a SaaS platformokból érkező kommunikációt alapértelmezetten megbízhatónak tekinti.
