Microsoft a avertizat utilizatorii cu privire la un val periculos de atacuri AiTM phishing care au afectat deja peste 10.000 de organizații. Atacurile au loc din septembrie 2021 și fură datele de conectare ale utilizatorilor Office 365.
Atacatorii pot ocoli Office365 MFA
Prin utilizarea site-urilor web de phishing adversar-in-the-middle (AiTM), părțile rău intenționate pot ocoli autentificare multifactor (MFA) caracteristică folosită de utilizatorii Office365 prin crearea unei pagini de autentificare Office365 false.
În acest proces, atacatorii urmăresc să obțină cookie-ul de sesiune al victimei prin implementarea unui server proxy între țintă și site-ul web care este falsificat.
În esență, atacatorii interceptează sesiunile de conectare Office365 pentru a fura informațiile de conectare. Aceasta este cunoscută ca deturnarea sesiunii. Dar lucrurile nu se opresc aici.
Atacurile AiTM duc la atacuri BEC și fraudă de plată
Odată ce atacatorul obține acces la căsuța poștală a victimei prin intermediul site-ului AiTM, acesta poate continua să efectueze atacuri ulterioare de compromitere a e-mailului de afaceri (BEC). Aceste escrocherii implică uzurparea identității personalului de la nivel înalt al companiei pentru a-i păcăli pe angajați să efectueze acțiuni care pot cauza prejudicii organizației.
Acest lucru a dus la mai multe cazuri de fraudă a plăților prin accesarea documentelor financiare private ale organizației țintă. Preluarea acestor date duce adesea la transferarea fondurilor către conturi controlate de atacatori.
Într-o postare lungă pe Blogul de securitate Microsoft, compania susține că a „detectat mai multe iterații ale unei campanii de phishing AiTM care a încercat să vizeze peste 10.000 de organizații din septembrie 2021”.
Aceste atacuri nu indică slăbiciunea AMF
Deși acest atac folosește autentificarea cu mai mulți factori, nu este reprezentativ pentru niciun fel de ineficiență din partea acestei măsuri de securitate. Microsoft afirmă în postarea pe blog că acest lucru se datorează faptului că „phishingul AiTM fură cookie-ul de sesiune, atacatorul este autentificat la o sesiune în numele utilizatorului, indiferent de metoda de conectare, aceasta din urmă utilizări”.
Deoarece autentificarea cu mai mulți factori poate fi atât de protectoare, infractorii cibernetici dezvoltă modalități de a o depăși, ceea ce vorbește mai mult despre succesul caracteristicii, decât despre avertismentele acesteia. Prin urmare, această campanie de phishing NU ar trebui să fie văzută ca un motiv pentru a dezactiva MFA pe conturile dvs.
Phishingul este o metodă de atac înfricoșător de comună
Phishing-ul este acum o metodă de atac înfricoșător de comună online, această campanie AiTM special reușind să afecteze mii de părți necunoscute. Deși nu sugerează o slăbiciune a AMF, arată că infractorii cibernetici dezvoltă acum noi modalități de a depăși astfel de măsuri de securitate.