Microsoft har advart brukere om en farlig bølge av AiTM phishing-angrep som allerede har påvirket over 10 000 organisasjoner. Angrepene har funnet sted siden september 2021 og stjeler Office 365-brukerpåloggingsinformasjon.
Angripere er i stand til å omgå Office365 MFA
Ved å bruke adversary-in-the-middle (AiTM) phishing-nettsteder, kan ondsinnede parter omgå multifaktorautentisering (MFA) funksjon brukt av Office365-brukere ved å lage en falsk Office365-autentiseringsside.
I denne prosessen tar angripere sikte på å skaffe offerets øktinformasjonskapsel via distribusjon av en proxy-server mellom målet og nettstedet som blir forfalsket.
I hovedsak avskjærer angriperne Office365-påloggingsøkter for å stjele påloggingsinformasjon. Dette er kjent som øktkapring. Men ting stopper ikke der.
AiTM-angrep fører til BEC-angrep og betalingssvindel
Når angriperen får tilgang til offerets postkasse via AiTM-nettstedet, kan de fortsette å utføre oppfølgende virksomhets-e-postkompromissangrep (BEC). Disse svindelene innebærer etterligning av høyt nivå bedriftsansatte for å lure ansatte til å utføre handlinger som kan forårsake skade på organisasjonen.
Dette har ført til flere tilfeller av betalingssvindel ved å få tilgang til målorganisasjonens private økonomiske dokumenter. Henting av disse dataene fører ofte til at midler overføres til angriperkontrollerte kontoer.
I et langt innlegg på Microsofts sikkerhetsblogg, hevder selskapet at det har "oppdaget flere gjentakelser av en AiTM phishing-kampanje som forsøkte å målrette mot mer enn 10 000 organisasjoner siden september 2021".
Disse angrepene er ikke en indikasjon på MFA-svakhet
Selv om dette angrepet utnytter multifaktorautentisering, er det ikke representativt for noen form for ineffektivitet fra denne sikkerhetstiltaket. Microsoft uttaler i sitt blogginnlegg at dette er fordi "AiTM phishing stjeler øktinformasjonskapselen, angriperen blir autentisert til en økt på brukerens vegne, uavhengig av påloggingsmetoden sistnevnte bruker".
Fordi multifaktorautentisering kan være så beskyttende, utvikler nettkriminelle måter å overvinne det på, noe som snakker mer om funksjonens suksess, snarere enn dens forbehold. Så denne phishing-kampanjen bør IKKE sees på som en grunn til å deaktivere MFA på kontoene dine.
Phishing er en skremmende vanlig angrepsmetode
Phishing er nå en skremmende vanlig angrepsmetode på nettet, med denne spesielle AiTM-kampanjen som klarer å påvirke tusenvis av uvitende parter. Selv om det ikke tyder på en MFA-svakhet, viser det at nettkriminelle nå utvikler nye måter å overvinne slike sikkerhetstiltak.