Microsoft предупредила пользователей об опасной волне фишинговых атак AiTM, которые уже затронули более 10 000 организаций. Атаки происходят с сентября 2021 года и направлены на кражу учетных данных пользователей Office 365.
Злоумышленники могут обойти Office365 MFA
Используя фишинговые веб-сайты злоумышленника посередине (AiTM), злоумышленники могут обойти многофакторная аутентификация (MFA) используется пользователями Office365 путем создания фальшивой страницы аутентификации Office365.
В этом процессе злоумышленники стремятся получить файл cookie сеанса жертвы путем развертывания прокси-сервера между целью и поддельным веб-сайтом.
По сути, злоумышленники перехватывают сеансы входа в Office365, чтобы украсть данные для входа. Это известно как перехват сеанса. Но на этом все не заканчивается.
Атаки AiTM приводят к атакам BEC и мошенничеству с платежами
Как только злоумышленник получает доступ к почтовому ящику жертвы через сайт AiTM, он может продолжать выполнять последующие атаки компрометации деловой электронной почты (BEC). Эти мошенничества включают выдачу себя за высокопоставленных сотрудников компании, чтобы обманным путем заставить сотрудников выполнять действия, которые могут нанести вред организации.
Это привело к многочисленным случаям мошенничества с платежами путем доступа к частным финансовым документам целевой организации. Получение этих данных часто приводит к переводу средств на счета, контролируемые злоумышленниками.
В длинном посте на блог безопасности Майкрософт, компания утверждает, что «обнаружила несколько итераций фишинговой кампании AiTM, направленной на более чем 10 000 организаций с сентября 2021 года».
Эти атаки не свидетельствуют о слабости MFA
Хотя эта атака использует многофакторную аутентификацию, она не свидетельствует о какой-либо неэффективности этой меры безопасности. Microsoft заявляет в своем блоге, что это связано с тем, что «фишинг AiTM крадет файл cookie сеанса, злоумышленник проходит аутентификацию в сеансе от имени пользователя, независимо от метода входа в систему. использует".
Поскольку многофакторная аутентификация может быть настолько защитной, киберпреступники разрабатывают способы ее преодоления, что говорит скорее об успехе этой функции, чем о ее недостатках. Таким образом, эта фишинговая кампания НЕ должна рассматриваться как причина для деактивации MFA в ваших учетных записях.
Фишинг — пугающе распространенный метод атаки
Фишинг в настоящее время является пугающе распространенным методом онлайн-атак, и эта конкретная кампания AiTM затронула тысячи неосведомленных сторон. Хотя это не говорит о слабости MFA, это показывает, что киберпреступники в настоящее время разрабатывают новые способы преодоления таких мер безопасности.