[圖]微軟披露大規模釣魚活動 啟用多因素認證仍可能被劫持


本周二,微軟詳細披露目前仍在進行中的大規模網絡釣魚活動。即便用戶賬號啟用多因素身份認證保護措施,該活動依然可以劫持用戶賬戶。自去年9月以來,這項活動已針對10000個組織進行攻擊,通過訪問受害者電子郵件賬號來誘騙員工向黑客匯款。

多因素身份驗證(也稱為雙因素身份驗證、MFA 或 2FA)是帳戶安全的黃金標準。除密碼之外,它還要求帳戶用戶以他們擁有或控制的東西(物理安全密鑰、指紋、面部或視網膜掃描)的形式證明他們的身份。MFA 技術的廣泛使用增加攻擊難度,但攻擊者已經找到反擊的方法。

微軟觀察到一個活動,該活動在帳戶用戶和他們嘗試登錄的工作服務器之間插入一個攻擊者控制的代理站點。當用戶向代理站點輸入密碼時,代理站點將其發送到真實服務器,然後將真實服務器的響應轉發回用戶。身份驗證完成後,攻擊者竊取合法站點發送的會話 cookie,因此用戶無需在訪問每個新頁面時都重新進行身份驗證。該活動始於一封帶有指向代理服務器的 HTML 附件的網絡釣魚電子郵件。

釣魚網站攔截身份驗證過程。

在一篇博文中,Microsoft 365 Defender 研究團隊的成員和微軟威脅情報中心寫道:“根據我們的觀察,在首次登錄網絡釣魚站點的被盜帳戶後,攻擊者使用被盜的會話 cookie 對 Outlook 在線 (outlook.Office.com) 進行身份驗證。在多種情況下,cookie 都有 MFA 聲明,這意味著即使組織有 MFA 策略,攻擊者也會使用會話 cookie 代表受感染的帳戶獲得訪問權限”。

在 cookie 被盜後的幾天裡,威脅行為者訪問員工的電子郵件帳戶並尋找用於商業電子郵件泄露詐騙的消息,這會欺騙目標將大筆資金匯入他們認為屬於同事或業務合作夥伴的帳戶。攻擊者使用這些電子郵件線程和被黑員工的偽造身份來說服對方付款。

為防止被黑員工發現漏洞,威脅參與者創建收件箱規則,自動將特定電子郵件移動到存檔文件夾並將其標記為已讀。在接下來的幾天裡,攻擊者定期登錄以檢查新電子郵件。

該博客文章顯示員工很容易陷入此類騙局。大量的電子郵件和工作量通常使我們很難知道消息何時是真實的。使用 MFA 已經表明用戶或組織正在實施良好的安全衛生。騙局中為數不多的視覺可疑元素之一是代理站點登錄頁面中使用的域名。盡管如此,鑒於大多數組織特定登錄頁面的不透明性,即使是粗略的域名也可能會讓人中招。


相關推薦

2022-08-27

和電信業。Group-IB引用的目標域名(但未確認被盜)包括微軟、Twitter、AT&T、Verizon Wireless、Coinbase、Best Buy、T-Mobile、Riot Games和Epic Games。現金似乎至少是攻擊的動機之一,在被攻擊的名單中看到金融公司,讓我們認為攻擊者也

2022-08-04

網絡安全研究公司Zscaler警告稱——使用微軟電子郵件服務的用戶需提高警惕,因為他們剛剛發現一種新型網絡釣魚活動。調查顯示,攻擊者正使用AiTM中間人技術,來繞過當前的MFA多因素身份驗證,且企業客戶很容易受到這方面

2022-08-16

微軟威脅情報中心(MSTIC)剛剛就“SEABORGIUM”網絡釣魚活動發出警告。盡管其自2017年就已存在,但該公司還是觀察到相當多的案例,因而決定提供全面指導、以免潛在的受害者中招。據悉,SEABORGIUM的危險之處,在於攻擊者利用

2022-08-29

兩周前,Twilio和Cloudflare披露一場精心策劃的網絡釣魚攻擊,導致兩傢公司員工的賬戶憑據被泄露。其中Twilio的兩步驗證(2FA)系統被攻破,導致攻擊者能夠訪問其內部系統。現在,安全研究人員已找到這輪大規模網絡釣魚攻擊

2022-10-18

可以執行網絡釣魚、惡意軟件傳播等其他詐騙方式,因此微軟在Edge瀏覽器中引入拼寫錯誤保護,當用戶瀏覽某些有記錄的偽裝網站的時候就會發出提醒。微軟解釋道:今年,我們通過與 Microsoft Bing 索引團隊合作開展網站錯字保

2022-09-15

nsight推特賬號上發佈的一系列推文中指出,其留意到假借微軟之名的新一輪網絡釣魚活動,且攻擊者旨在收集受害者的賬戶憑據、以及多因素身份驗證等詳細信息。如圖所示,釣魚郵件發佈者假借悼念女王之名,忽悠收件人跳轉

2022-11-09

000次基於密碼的攻擊,與去年相比增加74%。這些數據來自微軟的《2022年數字防禦報告》,該報告分析來自微軟全球產品和服務生態系統的數萬億信號,以揭示全球網絡威脅的規模。訪問報告全文:https://query.prod.cms.rt.microsoft.com/c

2022-09-17

,MandiantManagedDefense揪出被UNC4034組織所利用的新一輪網絡釣魚活動。(來自:Mandiant Blog)Mandiant 認為 UNC4034 與朝方的幾個組織有重疊,其通過 WhatsApp 即時通訊服務與受害者建立聯系,並引誘其下載惡意 ISO 包。然而 Mandiant Intellig

2022-09-20

一群惡意行為者加強他們的網絡釣魚活動,以欺騙大公司(尤其是能源、專業服務和建築行業的公司)提交他們的MicrosoftOffice365帳戶憑據。根據網絡釣魚檢測和響應解決方案公司Cofense的一份報告,這些惡意行為者改進誘餌元素

2022-09-01

平臺方發去安全通報,此外 TikTok 發言人 Maureen Shanahan 對微軟研究團隊的專業與高效大加贊賞。圖 1 - 將 JavaScript 接口添加到 WebView 對象Microsoft Defender for Endpoint 安全研究合作夥伴主管 Tanmay Ganacharya 向 TheVerge 證實,TikTok 方面很快

2022-09-19

cript安全公司披露稱,當Chrome的增強拼寫檢查功能和Edge的微軟編輯器拼寫和語法檢查器(Microsoft Editor Spelling & Grammar Checker)瀏覽器插件被用戶手動激活時就會發生這種情況。盡管如此,值得註意的是,這兩種瀏覽器都有自己的

2022-11-01

態每月收費20美元的消息傳出後,網絡犯罪分子正在發送釣魚欺詐郵件,聲稱這是新認證程序的一部分。馬斯克最近宣佈,作為Twitter的新主人,他的首要任務之一是改革驗證程序。據報道,這將涉及使Twitter Blue - 每月4.99美元的

2024-02-15

微軟和OpenAI今天透露,黑客已經在使用ChatGPT等大型語言模型來完善和改進他們現有的網絡攻擊。在最新發佈的研究報告中,微軟和OpenAI發現俄羅斯、朝鮮、伊朗和中國支持的組織試圖利用ChatGPT等工具研究目標、改進腳本並幫助

2023-10-31

GPT)被用於犯罪目的的可能性。人工智能將大大提高網絡釣魚郵件的成功率,這是黑客入侵人們的計算機、電子郵件賬戶和公司服務器的最具破壞性的有效技術。目前,90% 以上的網絡攻擊都是從網絡釣魚信息開始的,它們偽裝