ALPACA — новая форма кросс-протокольных атак против защищённых веб-сайтов

Екатерина Быстрова 10 Июня 2021 - 09:58

Ошибки конфигурации программ

...

ALPACA — новая форма кросс-протокольных атак против защищённых веб-сайтов

Специалисты в области кибербезопасности рассказали о новом векторе атаки, строящемся на использовании некорректной конфигурации TLS-серверов. В случае успешной эксплуатации злоумышленники могут перенаправить HTTPS-трафик браузера жертвы на другой IP-адрес и потенциально украсть конфиденциальную информацию пользователя.

Сама форма атаки получила имя ALPACA (сокращение от «Application Layer Protocol Confusion - Analyzing and mitigating Cracks in tls Authentication»). Её обнаружили эксперты Рурского Мюнстерского и Падерборнского университетов.

«Атакующие могут перенаправить трафик от одного поддомена другому, при этом сохранится валидная TLS-сессия. Такие вот кросс-протокольные атаки возможны в том случае, когда некорректное поведение одного из сервисов вызывает компрометацию другого протокола прикладного уровня», — говорится в исследовании специалистов.

Как объяснили исследователи, ALPACA существует из-за того, что TLS не привязывает TCP-соединение к протоколу прикладного уровня. Другими словами, это неспособность TLS защитить подлинность TCP-соединения.

Если взять клиент (браузер пользователя) и два сервера приложений, задача вырисовывается следующая: заставить запасной сервер принять данные от клиента и наоборот. При этом клиент использует специальный протокол для открытия защищённого канала (скажем, HTTPS) при взаимодействии с целевым сервером, а подставной сервер может задействовать другой протокол (скажем, FTP) — такие атаки и называются кросс-протокольными.

Бороться с кросс-протокольными атаками эксперты предлагают расширениями Application Layer Protocol Negotiation (ALPN) и Server Name Indication (SNI). Дополнительную информацию относительно ALPACA исследователи обещают представить на конференции Black Hat USA 2021 в этом году. Также можно изучить соответствующий код на GitHub.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 11 Сентября 2025 - 14:57

Мошенничество Онлайн-мошенничество Домашние пользователи BI.ZONE

В Telegram нашли 4 тыс. ссылок на фейковые лотереи с охватом 74 млн

Мошенники активно используют комментарии в телеграм-каналах для распространения своих ссылок. Эксперты BI.ZONE Brand Protection зафиксировали более 4 тысяч таких сообщений, оставленных с 780 различных аккаунтов. Подобные комментарии встречаются в популярных сообществах, где обсуждают новости и шоу-бизнес, что позволяет злоумышленникам охватывать многомиллионную аудиторию и привлекать новых жертв.

По данным BI.ZONE Brand Protection, мошеннические объявления были размещены в 1700 группах и телеграм-каналах с общим охватом свыше 74 млн человек.

Злоумышленники оставляют сообщения от первого лица, хвастаются крупным выигрышем и прикладывают ссылку. Если пользователь переходит по ней, его приглашают поучаствовать в «лотерее».

После двух-трех раундов игра якобы заканчивается победой, и именно на этом этапе у жертвы начинают выманивать деньги.

«Чтобы получить выигрыш, нужно якобы заплатить госпошлину. Для убедительности атакующие даже указывают статью из Налогового кодекса России. Человек уверен, что платит пошлину, но на самом деле переводит деньги мошенникам», — пояснил руководитель BI.ZONE Brand Protection Дмитрий Кирюшкин.

По словам экспертов, подобная схема используется давно, но до сих пор приносит результат. В BI.ZONE советуют не переходить по ссылкам от незнакомых пользователей и не совершать платежи на сомнительных ресурсах.

Мессенджеры в 2025 году стали одним из основных каналов фишинга. Это объясняется тем, что технические средства защиты, эффективно работающие в почте, в мессенджерах пока не применяются.

Среди новых тенденций 2025 года также отмечаются фейковые инвестиционные платформы и сайты для сбора оплаты проезда по платным дорогам.