Η Microsoft έχει προειδοποιήσει τους χρήστες για ένα επικίνδυνο κύμα επιθέσεων phishing AiTM που έχει ήδη επηρεάσει περισσότερους από 10.000 οργανισμούς. Οι επιθέσεις λαμβάνουν χώρα από τον Σεπτέμβριο του 2021 και κλέβουν τα διαπιστευτήρια σύνδεσης χρηστών του Office 365.

Οι εισβολείς μπορούν να παρακάμψουν το Office365 MFA

Χρησιμοποιώντας ιστοτόπους ηλεκτρονικού ψαρέματος αντιπάλους-in-the-middle (AiTM), τα κακόβουλα μέρη μπορούν να παρακάμψουν έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA) χαρακτηριστικό που χρησιμοποιείται από τους χρήστες του Office365 δημιουργώντας μια ψεύτικη σελίδα ελέγχου ταυτότητας του Office365.

Σε αυτή τη διαδικασία, οι εισβολείς στοχεύουν να αποκτήσουν το cookie περιόδου λειτουργίας του θύματος μέσω της ανάπτυξης ενός διακομιστή μεσολάβησης μεταξύ του στόχου και του ιστότοπου που πλαστογραφείται.

Ουσιαστικά, οι εισβολείς παρεμποδίζουν τις περιόδους σύνδεσης του Office365 για να κλέψουν πληροφορίες σύνδεσης. Αυτό είναι γνωστό ως πειρατεία συνεδρίας. Όμως τα πράγματα δεν σταματούν εκεί.

Οι επιθέσεις AiTM οδηγούν σε επιθέσεις BEC και απάτη πληρωμών

Μόλις ο εισβολέας αποκτήσει πρόσβαση στο γραμματοκιβώτιο του θύματος μέσω του ιστότοπου AiTM, μπορεί να συνεχίσει να πραγματοποιεί επιθέσεις συμβιβασμού για επιχειρηματικά email (BEC). Αυτές οι απάτες περιλαμβάνουν την πλαστοπροσωπία υψηλού επιπέδου προσωπικού της εταιρείας προκειμένου να εξαπατήσουν τους υπαλλήλους να προβούν σε ενέργειες που μπορούν να προκαλέσουν βλάβη στον οργανισμό.

Αυτό οδήγησε σε πολλαπλές περιπτώσεις απάτης πληρωμών μέσω της πρόσβασης στα ιδιωτικά οικονομικά έγγραφα του οργανισμού-στόχου. Η ανάκτηση αυτών των δεδομένων οδηγεί συχνά στη σύνδεση κεφαλαίων σε λογαριασμούς που ελέγχονται από τους εισβολείς.

Σε μεγάλη ανάρτηση στο το ιστολόγιο ασφαλείας της Microsoft, η εταιρεία ισχυρίζεται ότι έχει "εντοπίσει πολλαπλές επαναλήψεις μιας εκστρατείας phishing AiTM που προσπάθησε να στοχεύσει περισσότερους από 10.000 οργανισμούς από τον Σεπτέμβριο του 2021".

Αυτές οι επιθέσεις δεν είναι ενδεικτικές της αδυναμίας του MFA

Αν και αυτή η επίθεση αξιοποιεί τον έλεγχο ταυτότητας πολλαπλών παραγόντων, δεν αντιπροσωπεύει κανενός είδους αναποτελεσματικότητα από την πλευρά αυτού του μέτρου ασφαλείας. Η Microsoft δηλώνει στην ανάρτηση του ιστολογίου της ότι αυτό συμβαίνει επειδή "Το phishing του AiTM κλέβει το cookie περιόδου λειτουργίας, το ο εισβολέας πιστοποιείται σε μια περίοδο λειτουργίας για λογαριασμό του χρήστη, ανεξάρτητα από τη μέθοδο σύνδεσης που ο τελευταίος χρήσεις».

Επειδή ο έλεγχος ταυτότητας πολλαπλών παραγόντων μπορεί να είναι τόσο προστατευτικός, οι εγκληματίες του κυβερνοχώρου αναπτύσσουν τρόπους για να τον ξεπεράσουν, κάτι που μιλά περισσότερο για την επιτυχία του χαρακτηριστικού και όχι για τις επιφυλάξεις του. Επομένως, αυτή η καμπάνια phishing ΔΕΝ πρέπει να θεωρείται ως λόγος απενεργοποίησης του MFA στους λογαριασμούς σας.

Το phishing είναι μια τρομακτικά κοινή μέθοδος επίθεσης

Το phishing είναι πλέον μια τρομακτικά κοινή μέθοδος επίθεσης στο διαδίκτυο, με τη συγκεκριμένη καμπάνια AiTM να καταφέρνει να επηρεάσει χιλιάδες μέρη που δεν γνωρίζουν. Αν και δεν υποδηλώνει αδυναμία ΜΧΣ, δείχνει ότι οι εγκληματίες του κυβερνοχώρου αναπτύσσουν τώρα νέους τρόπους για να ξεπεράσουν τέτοια μέτρα ασφαλείας.