Microsoft ir brīdinājusi lietotājus par bīstamu AiTM pikšķerēšanas uzbrukumu vilni, kas jau ir skārusi vairāk nekā 10 000 organizāciju. Uzbrukumi notiek kopš 2021. gada septembra, un tiek zagti Office 365 lietotāju pieteikšanās akreditācijas dati.
Uzbrucēji var apiet Office365 MFA
Izmantojot pikšķerēšanas vietnes ar pretinieku vidū (AiTM), ļaunprātīgas puses var apiet daudzfaktoru autentifikācija (MFA) līdzekli, ko izmanto Office365 lietotāji, izveidojot neīstu Office365 autentifikācijas lapu.
Šajā procesā uzbrucēju mērķis ir iegūt upura sesijas sīkfailu, izvietojot starpniekserveri starp mērķi un vietni, kas tiek viltota.
Būtībā uzbrucēji pārtver Office365 pierakstīšanās sesijas, lai nozagtu pieteikšanās informāciju. Tas ir pazīstams kā sesijas nolaupīšana. Taču lietas ar to neapstājas.
AiTM uzbrukumi noved pie BEC uzbrukumiem un maksājumu krāpšanas
Kad uzbrucējs caur AiTM vietni iegūst piekļuvi upura pastkastei, viņš var turpināt veikt biznesa e-pasta kompromitēšanas (BEC) uzbrukumus. Šīs krāpniecības ietver uzdošanos par augsta līmeņa uzņēmuma darbiniekiem, lai pievilinātu darbiniekus veikt darbības, kas var nodarīt kaitējumu organizācijai.
Tas ir izraisījis vairākus maksājumu krāpšanas gadījumus, piekļūstot mērķa organizācijas privātajiem finanšu dokumentiem. Šo datu izgūšana bieži noved pie tā, ka līdzekļi tiek pārskaitīti uz uzbrucēju kontrolētiem kontiem.
Garā ierakstā par Microsoft drošības emuārs, uzņēmums apgalvo, ka ir "atklājis vairākas AiTM pikšķerēšanas kampaņas iterācijas, kas kopš 2021. gada septembra mēģināja mērķēt uz vairāk nekā 10 000 organizācijām".
Šie uzbrukumi neliecina par MFA vājumu
Lai gan šis uzbrukums izmanto vairāku faktoru autentifikāciju, tas neliecina par šī drošības pasākuma neefektivitāti. Microsoft savā emuāra ziņojumā norāda, ka tas ir tāpēc, ka "AiTM pikšķerēšana nozog sesijas sīkfailu, uzbrucējs tiek autentificēts sesijai lietotāja vārdā neatkarīgi no pēdējās pierakstīšanās metodes izmanto".
Tā kā vairāku faktoru autentifikācija var būt tik aizsargājoša, kibernoziedznieki izstrādā veidus, kā to pārvarēt, kas vairāk liecina par funkcijas panākumiem, nevis par tās brīdinājumiem. Tāpēc šī pikšķerēšanas kampaņa NAV jāuzskata par iemeslu MFA deaktivizēšanai savos kontos.
Pikšķerēšana ir biedējoši izplatīta uzbrukuma metode
Pikšķerēšana tagad ir biedējoši izplatīta uzbrukuma metode tiešsaistē, un šī konkrētā AiTM kampaņa spēj ietekmēt tūkstošiem nezinošu pušu. Lai gan tas neliecina par MFA vājumu, tas liecina, ka kibernoziedznieki tagad izstrādā jaunus veidus, kā pārvarēt šādus drošības pasākumus.