Microsoft har varnat användare för en farlig våg av AiTM-nätfiskeattacker som redan har påverkat över 10 000 organisationer. Attackerna har pågått sedan september 2021 och stjäl inloggningsuppgifter för Office 365.
Angripare kan kringgå Office365 MFA
Genom att använda AiTM-nätfiskewebbplatser (adversary-in-the-middle) kan skadliga parter kringgå multifaktorautentisering (MFA) funktion som används av Office365-användare genom att skapa en falsk Office365-autentiseringssida.
I denna process strävar angripare efter att få offrets sessionscookie via utplaceringen av en proxyserver mellan målet och webbplatsen som förfalskas.
I grund och botten avlyssnar angriparna Office365-inloggningssessioner för att stjäla inloggningsinformation. Detta är känt som sessionskapning. Men saker stannar inte där.
AiTM-attacker leder till BEC-attacker och betalningsbedrägerier
När angriparen får tillgång till offrets brevlåda via AiTM-webbplatsen kan de fortsätta med att utföra uppföljande attacker för affärse-postkompromering (BEC). Dessa bedrägerier involverar imitation av hög nivå företagspersonal för att lura anställda att utföra åtgärder som kan skada organisationen.
Detta har lett till flera fall av betalningsbedrägerier genom att få tillgång till målorganisationens privata finansiella dokument. Att hämta dessa data leder ofta till att pengar kopplas till angriparkontrollerade konton.
I ett långt inlägg på Microsofts säkerhetsblogg, hävdar företaget att det har "upptäckt flera iterationer av en AiTM-nätfiskekampanj som försökte rikta in sig på mer än 10 000 organisationer sedan september 2021".
Dessa attacker är inte tecken på MFA-svaghet
Även om denna attack utnyttjar multifaktorautentisering, är den inte representativ för någon form av ineffektivitet från denna säkerhetsåtgärd. Microsoft uppger i sitt blogginlägg att detta beror på att "AiTM phishing stjäl sessionskakan, angriparen blir autentiserad till en session för användarens räkning, oavsett inloggningsmetod den senare använder".
Eftersom multifaktorautentisering kan vara så skyddande, utvecklar cyberbrottslingar sätt att övervinna det, vilket talar mer om funktionens framgång snarare än dess varningar. Så denna nätfiskekampanj ska INTE ses som en anledning att inaktivera MFA på dina konton.
Nätfiske är en skrämmande vanlig attackmetod
Nätfiske är nu en skrämmande vanlig attackmetod online, med denna speciella AiTM-kampanj som lyckas påverka tusentals ovetande parter. Även om det inte tyder på en MFA-svaghet, visar det att cyberbrottslingar nu utvecklar nya sätt att övervinna sådana säkerhetsåtgärder.
