Microsoft varoval uživatele před nebezpečnou vlnou phishingových útoků AiTM, které již zasáhly přes 10 000 organizací. Útoky se odehrávají od září 2021 a kradou přihlašovací údaje uživatelů Office 365.
Útočníci jsou schopni obejít Office365 MFA
Pomocí phishingových webů AiTM (adversary-in-the-middle) mohou škodlivé strany obejít vícefaktorové ověřování (MFA) funkce využívaná uživateli Office365 vytvořením falešné ověřovací stránky Office365.
V tomto procesu se útočníci snaží získat soubor cookie relace oběti prostřednictvím nasazení proxy serveru mezi cílem a webovou stránkou, která je podvržena.
Útočníci v podstatě zachycují přihlašovací relace Office365, aby ukradli přihlašovací údaje. Toto je známé jako únos relace. Tím ale věci nekončí.
AiTM útoky vedou k BEC útokům a platebním podvodům
Jakmile útočník získá přístup k poštovní schránce oběti prostřednictvím stránky AiTM, může pokračovat v provádění následných útoků na obchodní e-mailovou kompromitaci (BEC). Tyto podvody zahrnují předstírání identity vysoce postavených zaměstnanců společnosti s cílem přimět zaměstnance k provádění akcí, které mohou organizaci poškodit.
To vedlo k mnoha případům platebních podvodů při přístupu k soukromým finančním dokumentům cílové organizace. Získání těchto dat často vede k tomu, že finanční prostředky jsou přesměrovány na účty kontrolované útočníky.
V dlouhém příspěvku na na blogu Microsoft Security Blog, společnost tvrdí, že „zjistila několik opakování phishingové kampaně AiTM, která se od září 2021 pokusila zacílit na více než 10 000 organizací“.
Tyto útoky nejsou známkou slabosti MFA
Ačkoli tento útok využívá vícefaktorovou autentizaci, nepředstavuje žádný druh neúčinnosti tohoto bezpečnostního opatření. Microsoft ve svém příspěvku na blogu uvádí, že je to proto, že „phishing AiTM krade cookie relace, útočník se ověří v relaci jménem uživatele, bez ohledu na způsob přihlášení použití“.
Vzhledem k tomu, že vícefaktorová autentizace může být tak ochranná, kyberzločinci vyvíjejí způsoby, jak ji překonat, což spíše vypovídá o úspěchu funkce, než o jejích výhradách. Tato phishingová kampaň by tedy NEMĚLA být považována za důvod k deaktivaci MFA na vašich účtech.
Phishing je děsivě běžná metoda útoku
Phishing je nyní děsivě běžnou online metodou útoku, přičemž tato konkrétní kampaň AiTM dokázala ovlivnit tisíce nevědomých stran. I když to nenaznačuje slabinu MFA, ukazuje to, že kyberzločinci nyní vyvíjejí nové způsoby, jak taková bezpečnostní opatření překonat.