O značném rozšíření phishingového nástroje LogoKit informovala bezpečnostní společnost RiskIQ. V posledním měsíci zaznamenala jeho výskyt na více než sedmi stech unikátních doménách. Nástroj LogoKit dokáže měnit loga a texty na podvodných stránkách v reálném čase. Přizpůsobuje tak obsah vizuálním očekáváním potenciálních obětí útoku.
Útoky s využitím sady LogoKit využívají tradiční postupy phishingu. Na e-mail potenciální oběti dorazí e-mail, jenž obsahuje odkazy na podvržené stránky. Pokud na ně zacílený uživatel přejde, nástroj automaticky načte a doplní do falešných stránek loga zneužité společnosti ze služeb třetích stran, například Clearbit nebo databáze faviconů firmy Google, do pole login předvyplní e-mailovou adresu oběti a doplní relevantní texty. V osobě, na kterou tento útok cílí, může tento postup vyvolat mylný dojem, že se na stránky nedávno přihlásila. Po doplnění a odeslání hesla navíc stránky uživatele přesměrují na legitimní web zneužité společnosti. Předtím samozřejmě přihlašovací jméno a heslo odešlou do externí databáze.
Nástroj LogoKit využívá v podstatě jen sadu funkcí vytvořených v javascriptu, s nimiž lze poměrně věrně napodobit téměř jakékoli obecně navržené webové formuláře nebo dokumenty. Díky tomu se útok dokáže rychle a plně automaticky přizpůsobovat různým tématům, resp. organizacím, jejichž identitu a služby zneužívá. Podle specialistů firmy RiskIQ se LogoKit značně odlišuje od standardních sad pro phishing, jež vyžadují tvorbu více či méně zcela přesných šablon, s nimiž následně pracují.
Jisté nedokonalosti nástroje LogoKit v oblasti věrnosti a přesnosti vyváží jeho efektivita. Může se velmi pružně a rychle, tj. s minimálními požadavky na úpravy, přizpůsobovat nejrůznějším phishingovým kampaním. Podle výzkumníků zvládne i stovky různých útoků za týden. Útočníci jeho prostřednictvím cílí na velmi širokou paletu služeb a firem. Jde například o přihlašování k různým portálům, k firemním stránkám SharePoint, k úložišti OneDrive, ke službě Adobe Document Cloud, k nástrojům Office 365 nebo k burzám s kryptoměnami.
Díky velmi úspornému návrhu nevyžaduje LogoKit nijak náročné nastavení na serveru. Může být hostován na napadených stránkách, na legitimních webech zneužitých organizací nebo v doménách s napodobením názvu. Sada javascriptových souborů, nezřídka hostovaných na jinak důvěryhodných službách, navíc nebudí nijak velké podezření a úspěšně může obejít bezpečnostní prvky v organizacích.
