Автор: Фішинг залишається одним із найпоширеніших способів початку кібератаки, хоча технологічно він став значно складнішим, ніж звичайні «листи від банку». Сучасні фішингові кампанії використовують повноцінні копії реальних сервісів, включно з банківськими порталами, корпоративними VPN-сторінками або навіть Microsoft 365 логін-формами.
З технічної точки зору атака зазвичай починається з інфраструктури, яка розміщується на скомпрометованих VPS або через швидко змінювані домени (domain generation algorithms або просто часта ротація доменів). Зловмисники використовують SSL-сертифікати від безкоштовних сервісів, наприклад Let’s Encrypt, щоб створити ілюзію легітимності.
Далі застосовується техніка reverse proxy phishing. У цьому випадку користувач вводить логін і пароль на підробленому сайті, але запит миттєво проксирується на справжній сервіс. Це дозволяє атакуючим отримати не тільки пароль, а й session cookie, обходячи навіть двофакторну автентифікацію.
Після отримання доступу облікові дані часто автоматично перевіряються через спеціальні інструменти credential stuffing, які тестують їх на інших сервісах — від пошти до корпоративних систем. Саме тому витік одного пароля часто призводить до масштабної компрометації.
Фінальна мета таких атак — доступ до корпоративної пошти, VPN або хмарних сервісів (Google Workspace, Microsoft Entra ID), після чого відкривається шлях до більш складних атак, включно з внутрішнім переміщенням у мережі.
