Microsoft ha avvertito gli utenti di una pericolosa ondata di attacchi di phishing AiTM che ha già colpito oltre 10.000 organizzazioni. Gli attacchi sono in corso da settembre 2021 e stanno rubando le credenziali di accesso degli utenti di Office 365.
Gli aggressori sono in grado di bypassare l'autenticazione a più fattori di Office365
Utilizzando i siti Web di phishing adversary-in-the-middle (AiTM), i malintenzionati sono in grado di aggirare il autenticazione a più fattori (MFA) funzionalità utilizzata dagli utenti di Office365 creando una pagina di autenticazione di Office365 fasulla.
In questo processo, gli aggressori mirano a ottenere il cookie di sessione della vittima tramite l'implementazione di un server proxy tra il bersaglio e il sito Web oggetto di spoofing.
In sostanza, gli aggressori stanno intercettando le sessioni di accesso di Office365 per rubare le informazioni di accesso. Questo è noto come dirottamento della sessione. Ma le cose non si fermano qui.
Gli attacchi AiTM portano ad attacchi BEC e frodi di pagamento
Una volta che l'attaccante ottiene l'accesso alla casella di posta della vittima tramite il sito AiTM, può continuare a eseguire attacchi BEC (Business Email Compromesso) successivi. Queste truffe comportano la rappresentazione di personale aziendale di alto livello al fine di indurre i dipendenti a compiere azioni che possono causare danni all'organizzazione.
Ciò ha portato a molteplici casi di frode nei pagamenti accedendo ai documenti finanziari privati dell'organizzazione di destinazione. Il recupero di questi dati spesso porta i fondi a essere trasferiti ad account controllati dall'attaccante.
In un lungo post su il blog sulla sicurezza Microsoft, la società afferma di aver "rilevato più iterazioni di una campagna di phishing AiTM che ha tentato di prendere di mira più di 10.000 organizzazioni da settembre 2021".
Questi attacchi non sono indicativi della debolezza dell'AMF
Sebbene questo attacco stia sfruttando l'autenticazione a più fattori, non è rappresentativo di alcun tipo di inefficacia da parte di questa misura di sicurezza. Microsoft afferma nel suo post sul blog che ciò è dovuto al fatto che "il phishing AiTM ruba il cookie di sessione, il l'attaccante viene autenticato in una sessione per conto dell'utente, indipendentemente dal metodo di accesso di quest'ultimo usi”.
Poiché l'autenticazione a più fattori può essere così protettiva, i criminali informatici stanno sviluppando modi per superarla, il che parla più del successo della funzionalità, piuttosto che dei suoi avvertimenti. Quindi, questa campagna di phishing NON dovrebbe essere vista come un motivo per disattivare l'AMF sui tuoi account.
Il phishing è un metodo di attacco spaventosamente comune
Il phishing è ora un metodo di attacco online spaventosamente comune, con questa particolare campagna AiTM che riesce a colpire migliaia di parti ignare. Sebbene non suggerisca una debolezza dell'AMF, mostra che i criminali informatici stanno ora sviluppando nuovi modi per superare tali misure di sicurezza.