Microsoft je uporabnike opozoril na nevaren val lažnih napadov AiTM, ki so prizadeli že več kot 10.000 organizacij. Napadi potekajo od septembra 2021 in kradejo uporabniške poverilnice za prijavo v Office 365.
Napadalci lahko zaobidejo Office365 MFA
Z uporabo spletnih strani z lažnim predstavljanjem nasprotnika v sredini (AiTM) lahko zlonamerne strani obidejo večfaktorska avtentikacija (MFA) funkcijo, ki jo uporabljajo uporabniki Office365 z ustvarjanjem lažne strani za preverjanje pristnosti Office365.
V tem procesu si napadalci prizadevajo pridobiti žrtvin sejni piškotek prek namestitve proxy strežnika med tarčo in spletnim mestom, ki je ponarejeno.
V bistvu napadalci prestrežejo prijavne seje Office365, da bi ukradli podatke za prijavo. To je znano kot ugrabitev seje. A stvari se tu ne ustavijo.
Napadi AiTM vodijo do napadov BEC in goljufij pri plačilih
Ko napadalec prek spletnega mesta AiTM pridobi dostop do žrtvinega poštnega predala, lahko nadaljuje z izvajanjem napadov z ogrožanjem poslovne e-pošte (BEC). Te goljufije vključujejo lažno predstavljanje osebja podjetja na visoki ravni, da bi zaposlene pretentali v izvajanje dejanj, ki lahko povzročijo škodo organizaciji.
To je privedlo do več primerov goljufij pri plačilu z dostopom do zasebnih finančnih dokumentov ciljne organizacije. Pridobivanje teh podatkov pogosto vodi do tega, da se sredstva nakažejo na račune, ki jih nadzorujejo napadalci.
V dolgi objavi naprej Microsoftov spletni dnevnik o varnosti, podjetje trdi, da je "od septembra 2021 zaznalo več iteracij kampanje z lažnim predstavljanjem AiTM, ki je poskušala ciljati na več kot 10.000 organizacij".
Ti napadi ne kažejo na šibkost MFA
Čeprav ta napad izkorišča večfaktorsko avtentikacijo, ni reprezentativen za kakršno koli neučinkovitost tega varnostnega ukrepa. Microsoft v svojem blogu navaja, da je to zato, ker »lažno predstavljanje AiTM ukrade sejni piškotek, napadalec se overi v seji v imenu uporabnika, ne glede na način prijave slednjega uporablja«.
Ker je lahko večfaktorska avtentikacija tako zaščitna, kibernetski kriminalci razvijajo načine za njeno premagovanje, kar bolj govori o uspehu funkcije kot o njenih opozorilih. Na to kampanjo z lažnim predstavljanjem se torej NE sme gledati kot na razlog za deaktivacijo MFA v vaših računih.
Lažno predstavljanje je zastrašujoče pogosta metoda napada
Lažno predstavljanje je zdaj zastrašujoče pogosta metoda napada na spletu, s to posebno kampanjo AiTM, ki je uspela vplivati na tisoče nevede. Čeprav ne kaže na šibkost MFA, kaže, da kibernetski kriminalci zdaj razvijajo nove načine za premagovanje takšnih varnostnih ukrepov.
