Microsoft har advaret brugere om en farlig bølge af AiTM-phishing-angreb, der allerede har påvirket over 10.000 organisationer. Angrebene har fundet sted siden september 2021 og stjæler Office 365-brugerloginoplysninger.
Angribere er i stand til at omgå Office365 MFA
Ved at bruge adversary-in-the-middle (AiTM) phishing-websteder er ondsindede parter i stand til at omgå multi-faktor autentificering (MFA) funktion anvendt af Office365-brugere ved at oprette en falsk Office365-godkendelsesside.
I denne proces sigter angribere på at få offerets sessionscookie via udrulning af en proxyserver mellem målet og det websted, der bliver forfalsket.
Grundlæggende opsnapper angriberne Office365-login-sessioner for at stjæle login-oplysninger. Dette er kendt som sessionskapring. Men tingene stopper ikke der.
AiTM-angreb fører til BEC-angreb og betalingssvindel
Når først angriberen får adgang til offerets postkasse via AiTM-webstedet, kan de fortsætte med at udføre opfølgende forretnings-e-mail-kompromis-angreb (BEC). Disse svindelnumre involverer efterligning af højtstående virksomhedspersonale for at narre medarbejdere til at udføre handlinger, der kan forårsage skade på organisationen.
Dette har ført til flere tilfælde af betalingssvindel ved at få adgang til målorganisationens private finansielle dokumenter. Hentning af disse data fører ofte til, at midler overføres til angriberkontrollerede konti.
I et langt indlæg på Microsoft Security Blog, hævder virksomheden, at den har "opdaget flere gentagelser af en AiTM phishing-kampagne, der har forsøgt at målrette mod mere end 10.000 organisationer siden september 2021".
Disse angreb er ikke tegn på MFA-svaghed
Selvom dette angreb udnytter multi-faktor autentificering, er det ikke repræsentativt for nogen form for ineffektivitet fra denne sikkerhedsforanstaltning. Microsoft udtaler i sit blogindlæg, at dette er fordi "AiTM phishing stjæler sessionscookien, angriberen bliver autentificeret til en session på brugerens vegne, uanset login-metoden sidstnævnte bruger".
Fordi multi-faktor autentificering kan være så beskyttende, udvikler cyberkriminelle måder at overvinde det på, hvilket taler mere om funktionens succes, snarere end dets forbehold. Så denne phishing-kampagne skal IKKE ses som en grund til at deaktivere MFA på dine konti.
Phishing er en skræmmende almindelig angrebsmetode
Phishing er nu en skræmmende almindelig angrebsmetode online, hvor denne særlige AiTM-kampagne formår at påvirke tusindvis af uvidende parter. Selvom det ikke tyder på en MFA-svaghed, viser det, at cyberkriminelle nu udvikler nye måder at overvinde sådanne sikkerhedsforanstaltninger.
