A Microsoft figyelmeztette a felhasználókat az AiTM adathalász támadások veszélyes hullámára, amely már több mint 10 000 szervezetet érintett. A támadások 2021 szeptembere óta zajlanak, és ellopják az Office 365 felhasználói bejelentkezési adatait.
A támadók megkerülhetik az Office365 MFA-t
A köztes ellenfél (AiTM) adathalász webhelyek használatával a rosszindulatú felek képesek megkerülni a többtényezős hitelesítés (MFA) Az Office365 felhasználók által használt funkció egy hamis Office365 hitelesítési oldal létrehozásával.
Ebben a folyamatban a támadók arra törekszenek, hogy megszerezzék az áldozat munkamenet-cookie-ját a cél és a hamisított webhely közötti proxyszerveren keresztül.
Lényegében a támadók elfogják az Office365 bejelentkezési munkameneteit, hogy bejelentkezési információkat lopjanak el. Ez az úgynevezett munkamenet-eltérítés. De a dolgok nem állnak meg itt.
Az AiTM támadások BEC támadásokhoz és fizetési csaláshoz vezetnek
Amint a támadó hozzáfér az áldozat postafiókjához az AiTM webhelyen keresztül, folytathatja az üzleti e-mail-kompromittálással kapcsolatos (BEC) támadásokat. Ezek a csalások a vállalat magas rangú alkalmazottainak megszemélyesítését jelentik annak érdekében, hogy az alkalmazottakat rávegyék a szervezetnek kárt okozó műveletekre.
Ez többszörös fizetési csaláshoz vezetett a célszervezet privát pénzügyi dokumentumaihoz való hozzáféréssel. Az adatok lekérése gyakran azt eredményezi, hogy a pénzeszközöket a támadók által ellenőrzött számlákra utalják át.
Egy hosszú bejegyzésben a Microsoft Security Blog, a vállalat azt állítja, hogy „többszöri iterációt észlelt egy AiTM adathalász kampányban, amely 2021 szeptembere óta több mint 10 000 szervezetet próbált megcélozni”.
Ezek a támadások nem jelzik az MFA gyengeségét
Bár ez a támadás többtényezős hitelesítést használ, nem jelzi a biztonsági intézkedés semmiféle hatástalanságát. A Microsoft a blogbejegyzésében kijelenti, hogy ennek az az oka, hogy "Az AiTM adathalászat ellopja a munkamenet cookie-t, A támadó a felhasználó nevében hitelesítést kap egy munkamenethez, függetlenül a bejelentkezési módtól használ".
Mivel a többtényezős hitelesítés nagyon védelmező lehet, a kiberbűnözők új módszereket dolgoznak ki ennek leküzdésére, ami inkább a funkció sikeréről szól, mintsem a figyelmeztetésekről. Tehát ezt az adathalász kampányt NEM szabad okként tekinteni az MFA deaktiválására a fiókokban.
Az adathalászat ijesztően gyakori támadási módszer
Az adathalászat ma már ijesztően elterjedt online támadási módszer, és ez a bizonyos AiTM kampány több ezer ismeretlen felet érinthet. Bár ez nem utal az MFA gyengeségére, azt mutatja, hogy a kiberbűnözők most új módszereket dolgoznak ki az ilyen biztonsági intézkedések leküzdésére.