Продолжающаяся фишинговая кампания может взломать вас, даже если вы защищены MFA.
Продолжающаяся фишинговая кампания может взломать вас, даже если вы защищены MFA.
Развернуть
Гетти Изображений
Во вторник Microsoft подробно рассказала о продолжающейся крупномасштабной фишинговой кампании, которая может похитить учетные записи пользователей, если они защищены мерами многофакторной аутентификации, предназначенными для предотвращения таких поглощений. Злоумышленники, стоящие за операцией, которая с сентября атаковала 10 000 организаций, использовали свой секретный доступ к учетным записям электронной почты жертв, чтобы заставить сотрудников отправлять деньги хакерам.
>
Многофакторная аутентификация, также известная как двухфакторная аутентификация, MFA или 2FA, является золотым стандартом безопасности аккаунта. Он требует, чтобы пользователь учетной записи подтвердил свою личность с помощью чего-то, что он владеет или контролирует (физический ключ безопасности, отпечаток пальца, сканирование лица или сетчатки глаза) в дополнение к тому, что он знает (своему паролю). Поскольку все более широкое использование многофакторной аутентификации препятствует кампаниям по захвату учетных записей, злоумышленники нашли способы дать отпор.
Противник посередине
Microsoft наблюдала за кампанией, в ходе которой между пользователями учетных записей и рабочим сервером, к которому они пытались подключиться, вставлялся контролируемый злоумышленниками прокси-сайт. Когда пользователь вводил пароль на прокси-сайте, прокси-сайт отправлял его на реальный сервер, а затем ретранслировал ответ от реального сервера пользователю. После завершения аутентификации злоумышленник украл файл cookie сеанса, отправленный законным сайтом, поэтому пользователю не нужно проходить повторную аутентификацию на каждой новой посещенной странице. Кампания началась с фишингового письма с вложением в формате HTML, ведущим на прокси-сервер.
Увеличить / Фишинговый сайт перехватывает процесс аутентификации.
"По нашим наблюдениям, после того, как скомпрометированная учетная запись впервые зашла на фишинговый сайт, злоумышленник использовал украденный файл cookie сеанса для аутентификации в Outlook Online (outlook.office.com)", — члены Исследовательская группа Microsoft 365 Defender и Microsoft Threat Intelligence Center написали в своем блоге. «В некоторых случаях в файлах cookie содержалось требование MFA, что означает, что даже если в организации была политика MFA, злоумышленник использовал файл cookie сеанса, чтобы получить доступ к имени скомпрометированной учетной записи».
В течение нескольких дней после кражи файлов cookie злоумышленники получали доступ к учетным записям электронной почты сотрудников и искали сообщения для использования в мошенничестве с компрометацией рабочей электронной почты, предлагая жертвам переводить крупные суммы денег на счета, которые, по их мнению, принадлежали коллегам или компаниям. партнеры. Злоумышленники использовали эти чаты и фальшивую личность взломанного сотрудника, чтобы убедить другую сторону произвести платеж.
Чтобы помешать взломанному сотруднику обнаружить компрометацию, злоумышленники создали правила для папки "Входящие", которые автоматически перемещали определенные электронные письма в архивную папку и помечали их как прочитанные. В течение следующих нескольких дней злоумышленник периодически входил в систему, чтобы проверить наличие новых сообщений электронной почты.
"Однажды злоумышленник предпринял несколько попыток мошенничества одновременно с одного и того же взломанного почтового ящика", — пишут авторы блога. «Каждый раз, когда злоумышленник находил новую цель мошенничества, он обновлял созданное им правило для папки «Входящие», чтобы включить домены организаций этих новых целей».
Во вторник Microsoft подробно рассказала о продолжающейся крупномасштабной фишинговой кампании, которая может похитить учетные записи пользователей, если они защищены мерами многофакторной аутентификации, предназначенными для предотвращения таких поглощений. Злоумышленники, стоящие за операцией, которая с сентября атаковала 10 000 организаций, использовали свой секретный доступ к учетным записям электронной почты жертв, чтобы заставить сотрудников отправлять деньги хакерам.
>
Многофакторная аутентификация, также известная как двухфакторная аутентификация, MFA или 2FA, является золотым стандартом безопасности аккаунта. Он требует, чтобы пользователь учетной записи подтвердил свою личность с помощью чего-то, что он владеет или контролирует (физический ключ безопасности, отпечаток пальца, сканирование лица или сетчатки глаза) в дополнение к тому, что он знает (своему паролю). Поскольку все более широкое использование многофакторной аутентификации препятствует кампаниям по захвату учетных записей, злоумышленники нашли способы дать отпор.
Противник посередине
Microsoft наблюдала за кампанией, в ходе которой между пользователями учетных записей и рабочим сервером, к которому они пытались подключиться, вставлялся контролируемый злоумышленниками прокси-сайт. Когда пользователь вводил пароль на прокси-сайте, прокси-сайт отправлял его на реальный сервер, а затем ретранслировал ответ от реального сервера пользователю. После завершения аутентификации злоумышленник украл файл cookie сеанса, отправленный законным сайтом, поэтому пользователю не нужно проходить повторную аутентификацию на каждой новой посещенной странице. Кампания началась с фишингового письма с вложением в формате HTML, ведущим на прокси-сервер.
Увеличить / Фишинговый сайт перехватывает процесс аутентификации.
"По нашим наблюдениям, после того, как скомпрометированная учетная запись впервые зашла на фишинговый сайт, злоумышленник использовал украденный файл cookie сеанса для аутентификации в Outlook Online (outlook.office.com)", — члены Исследовательская группа Microsoft 365 Defender и Microsoft Threat Intelligence Center написали в своем блоге. «В некоторых случаях в файлах cookie содержалось требование MFA, что означает, что даже если в организации была политика MFA, злоумышленник использовал файл cookie сеанса, чтобы получить доступ к имени скомпрометированной учетной записи».
В течение нескольких дней после кражи файлов cookie злоумышленники получали доступ к учетным записям электронной почты сотрудников и искали сообщения для использования в мошенничестве с компрометацией рабочей электронной почты, предлагая жертвам переводить крупные суммы денег на счета, которые, по их мнению, принадлежали коллегам или компаниям. партнеры. Злоумышленники использовали эти чаты и фальшивую личность взломанного сотрудника, чтобы убедить другую сторону произвести платеж.
Чтобы помешать взломанному сотруднику обнаружить компрометацию, злоумышленники создали правила для папки "Входящие", которые автоматически перемещали определенные электронные письма в архивную папку и помечали их как прочитанные. В течение следующих нескольких дней злоумышленник периодически входил в систему, чтобы проверить наличие новых сообщений электронной почты.
"Однажды злоумышленник предпринял несколько попыток мошенничества одновременно с одного и того же взломанного почтового ящика", — пишут авторы блога. «Каждый раз, когда злоумышленник находил новую цель мошенничества, он обновлял созданное им правило для папки «Входящие», чтобы включить домены организаций этих новых целей».
Развернуть
Гетти Изображений
Увеличить / Фишинговый сайт перехватывает процесс аутентификации.
