本周二,微軟詳細披露目前仍在進行中的大規模網絡釣魚活動。即便用戶賬號啟用多因素身份認證保護措施,該活動依然可以劫持用戶賬戶。自去年9月以來,這項活動已針對10000個組織進行攻擊,通過訪問受害者電子郵件賬號來誘騙員工向黑客匯款。
多因素身份驗證(也稱為雙因素身份驗證、MFA 或 2FA)是帳戶安全的黃金標準。除密碼之外,它還要求帳戶用戶以他們擁有或控制的東西(物理安全密鑰、指紋、面部或視網膜掃描)的形式證明他們的身份。MFA 技術的廣泛使用增加攻擊難度,但攻擊者已經找到反擊的方法。
微軟觀察到一個活動,該活動在帳戶用戶和他們嘗試登錄的工作服務器之間插入一個攻擊者控制的代理站點。當用戶向代理站點輸入密碼時,代理站點將其發送到真實服務器,然後將真實服務器的響應轉發回用戶。身份驗證完成後,攻擊者竊取合法站點發送的會話 cookie,因此用戶無需在訪問每個新頁面時都重新進行身份驗證。該活動始於一封帶有指向代理服務器的 HTML 附件的網絡釣魚電子郵件。
釣魚網站攔截身份驗證過程。
在一篇博文中,Microsoft 365 Defender 研究團隊的成員和微軟威脅情報中心寫道:“根據我們的觀察,在首次登錄網絡釣魚站點的被盜帳戶後,攻擊者使用被盜的會話 cookie 對 Outlook 在線 (outlook.Office.com) 進行身份驗證。在多種情況下,cookie 都有 MFA 聲明,這意味著即使組織有 MFA 策略,攻擊者也會使用會話 cookie 代表受感染的帳戶獲得訪問權限”。
在 cookie 被盜後的幾天裡,威脅行為者訪問員工的電子郵件帳戶並尋找用於商業電子郵件泄露詐騙的消息,這會欺騙目標將大筆資金匯入他們認為屬於同事或業務合作夥伴的帳戶。攻擊者使用這些電子郵件線程和被黑員工的偽造身份來說服對方付款。
為防止被黑員工發現漏洞,威脅參與者創建收件箱規則,自動將特定電子郵件移動到存檔文件夾並將其標記為已讀。在接下來的幾天裡,攻擊者定期登錄以檢查新電子郵件。
該博客文章顯示員工很容易陷入此類騙局。大量的電子郵件和工作量通常使我們很難知道消息何時是真實的。使用 MFA 已經表明用戶或組織正在實施良好的安全衛生。騙局中為數不多的視覺可疑元素之一是代理站點登錄頁面中使用的域名。盡管如此,鑒於大多數組織特定登錄頁面的不透明性,即使是粗略的域名也可能會讓人中招。