Microsoft varoval používateľov pred nebezpečnou vlnou AiTM phishingových útokov, ktoré už zasiahli viac ako 10 000 organizácií. K útokom dochádza od septembra 2021 a kradnú prihlasovacie údaje používateľov Office 365.
Útočníci sú schopní obísť Office365 MFA
Použitím phishingových webových stránok AiTM (adversary-in-the-middle) môžu škodlivé strany obísť viacfaktorové overenie (MFA) funkcia využívaná používateľmi Office365 vytvorením falošnej overovacej stránky Office365.
V tomto procese sa útočníci snažia získať súbor cookie relácie obete prostredníctvom nasadenia proxy servera medzi cieľom a webovou stránkou, ktorá je sfalšovaná.
Útočníci v podstate zachytávajú prihlasovacie relácie Office365, aby ukradli prihlasovacie údaje. Toto je známe ako únos relácie. Ale veci sa tam nekončia.
AiTM útoky vedú k BEC útokom a platobným podvodom
Akonáhle útočník získa prístup k poštovej schránke obete prostredníctvom stránky AiTM, môže pokračovať vo vykonávaní následných útokov na obchodné e-mailové kompromisy (BEC). Tieto podvody zahŕňajú odcudzenie identity vysokopostavených zamestnancov spoločnosti s cieľom oklamať zamestnancov, aby vykonali činnosti, ktoré môžu poškodiť organizáciu.
To viedlo k viacerým prípadom platobného podvodu prostredníctvom prístupu k súkromným finančným dokumentom cieľovej organizácie. Získavanie týchto údajov často vedie k tomu, že finančné prostriedky budú presmerované na účty kontrolované útočníkmi.
V dlhom príspevku na na blogu Microsoft Security BlogSpoločnosť tvrdí, že „od septembra 2021 zistila viacero opakovaní phishingovej kampane AiTM, ktorá sa pokúšala zacieliť na viac ako 10 000 organizácií“.
Tieto útoky nenaznačujú slabosť MZV
Aj keď tento útok využíva viacfaktorovú autentifikáciu, nepredstavuje žiadny druh neúčinnosti tohto bezpečnostného opatrenia. Microsoft vo svojom blogovom príspevku uvádza, že je to preto, že „AiTM phishing ukradne súbor cookie relácie, útočník sa prihlási do relácie v mene používateľa bez ohľadu na spôsob prihlásenia používa“.
Keďže viacfaktorová autentifikácia môže byť taká ochranná, počítačoví zločinci vyvíjajú spôsoby, ako ju prekonať, čo hovorí skôr o úspechu funkcie, než o jej výhradách. Táto phishingová kampaň by sa teda NEMALI vnímať ako dôvod na deaktiváciu MFA na vašich účtoch.
Phishing je desivo bežný spôsob útoku
Phishing je teraz desivo bežným spôsobom online útoku, pričom táto konkrétna kampaň AiTM dokáže ovplyvniť tisíce nevedomých strán. Hoci to nenaznačuje slabinu MFA, ukazuje to, že počítačoví zločinci teraz vyvíjajú nové spôsoby, ako prekonať takéto bezpečnostné opatrenia.