Microsoft предупреди потребителите за опасна вълна от AiTM фишинг атаки, които вече са засегнали над 10 000 организации. Атаките се провеждат от септември 2021 г. и крадат потребителски идентификационни данни за вход в Office 365.
Нападателите са в състояние да заобиколят Office365 MFA
Чрез използването на фишинг уебсайтове за противник по средата (AiTM), злонамерените страни могат да заобиколят многофакторно удостоверяване (MFA) функция, използвана от потребителите на Office365 чрез създаване на фалшива страница за удостоверяване на Office365.
В този процес нападателите се стремят да получат сесийната бисквитка на жертвата чрез разполагането на прокси сървър между целта и уебсайта, който е подправен.
По същество нападателите прихващат сесии за влизане в Office365, за да откраднат информация за вход. Това е известно като отвличане на сесия. Но нещата не спират дотук.
AiTM атаките водят до BEC атаки и измами с плащания
След като нападателят получи достъп до пощенската кутия на жертвата чрез сайта на AiTM, той може да продължи да извършва последващи атаки за компрометиране на бизнес имейл (BEC). Тези измами включват представяне за служители на високо ниво на компанията, за да подмамят служителите да извършат действия, които могат да навредят на организацията.
Това е довело до множество случаи на измами с плащания чрез достъп до частни финансови документи на целевата организация. Извличането на тези данни често води до прехвърляне на средства към сметки, контролирани от нападателя.
В дълъг пост на блога за сигурност на Microsoft, компанията твърди, че е „открила множество повторения на AiTM фишинг кампания, която се е опитала да насочи повече от 10 000 организации от септември 2021 г.“.
Тези атаки не са показателни за слабост на MFA
Въпреки че тази атака използва многофакторно удостоверяване, тя не е представителна за какъвто и да е вид неефективност от страна на тази мярка за сигурност. Microsoft заявява в публикацията си в блога, че това е така, защото „AiTM фишингът краде сесийната бисквитка, нападателят се удостоверява в сесия от името на потребителя, независимо от метода на влизане на последния използва“.
Тъй като многофакторното удостоверяване може да бъде толкова защитно, киберпрестъпниците разработват начини да го преодолеят, което говори повече за успеха на функцията, отколкото за нейните предупреждения. Така че тази фишинг кампания НЕ трябва да се разглежда като причина за деактивиране на MFA на вашите акаунти.
Фишингът е плашещо често срещан метод за атака
Фишингът вече е плашещо често срещан метод за атака онлайн, като тази конкретна AiTM кампания успява да засегне хиляди неподозиращи страни. Въпреки че не предполага слабост на MFA, това показва, че киберпрестъпниците сега разработват нови начини за преодоляване на подобни мерки за сигурност.
