Office Phishing Attack заобикаля многофакторното удостоверяване

Изследователи и инженери по сигурността на Microsoft откриха масивна фишинг атака, която е насочена към повече от 10 000 организации от септември 2021 г.

фишинг сайт

Злонамерените участници са използвали фишинг сайтове за противник по средата (AiTM), за да откраднат пароли и данни за сесии; това им позволи да заобиколят защитите за многофакторно удостоверяване, за да получат достъп до входящите кутии на потребителските имейли и да извършат последващи атаки, използвайки кампании за компрометиране на бизнес имейли срещу други цели.

Фишинг атаките са изминали дълъг път от своето скромно начало. В ранните дни фишинг кампаниите се използват до голяма степен за кражба на пароли за акаунти. Докато фишинг атаките все още се увеличават, данните от изследователския екип ThreatLabz на Zscaler предполага, че атаките са нараснали с 29% през 2021 гатаките са адаптирани към нови защитни контрамерки. В доклада на Microsoft за цифровата защита за 2021 гMicrosoft съобщи, че е видял удвояване на фишинг атаките в сравнение с предходната година.

Многофакторно удостоверяване, известно още като проверка в две стъпки, и влизане без парола са нараснали по популярност. Някои сайтове са направили многофакторното удостоверяване задължително за потребителите, но това все още е предимно незадължителна защитна функция.

Паролите не струват толкова много, ако акаунтите са защитени с втори слой. Нападателите, които се докопаха до парола за акаунт, нямат достъп до нея, ако е активирана двуфакторна автентификация. Въпреки че може да е възможно да се влезе в акаунти на други сайтове, ако потребителят използва същата комбинация от имейл и парола, използването на многофакторно удостоверяване прави основните фишинг атаки като цяло по-малко доходоносни.

Актьорите на заплахи трябваше да намерят нови техники за атака, за да се борят с нарастването на многофакторното удостоверяване и влизането без парола. Изследователят по сигурността mr.dox описа нова атака, която позволява на нападателите да откраднат сесийни бисквитки. Сесийните бисквитки се използват от сайтовете, за да определят състоянието на влизане на потребителя. Кражбата на сесийни бисквитки позволява на атакуващите да отвлекат сесията на потребителя, без да се налага да влизате в акаунт или да изпълнявате втора стъпка на проверка.

Някои сайтове използват допълнителни защити, за да предотвратят успеха на отвличането, но повечето не го правят.

Фишинг с противник по средата

Фишинг кампанията, която анализираха изследователите на сигурността на Microsoft, също беше след бисквитките на сесията на акаунта.

кредит на изображението: Microsoft

Фишинг атаките от тип Adversary-in-the-Middle използват прокси сървър, който се поставя между потребителя и уебсайта, който потребителят иска да отвори. Трафикът се насочва през прокси сървъра и това дава на атакуващия достъп до данни, включително пароли за акаунти и сесийни бисквитки.

Уеб услугите и приложенията използват сесии, за да определят дали даден потребител е удостоверен. Без сесии потребителите ще трябва да влизат всеки път, когато се отвори нова страница на уебсайт.

Функционалността на сесията се реализира с помощта на сесийни бисквитки, които услугата за удостоверяване задава след успешно влизане на потребителя.

Атаката Adversary-in-The-Middle се фокусира върху бисквитката на сесията на потребител, така че цялата стъпка за удостоверяване може да бъде пропусната за достъп до акаунта на потребителя.

Фигура 2-aitm-phishing-website-intercepting-authenticationФигура 2-aitm-phishing-website-intercepting-authentication
кредит на изображението: Microsoft

Актьорът на заплахата използва прокси, което се намира между устройството на потребителя и имитирания сайт. Използването на проксита премахва необходимостта от създаване на копиращ сайт. Единствената видима разлика между оригиналния сайт и фишинг сайта е URL адресът.

Ето процеса в подробности:

  1. Потребителят въвежда паролата в сайта за фишинг.
  2. Фишинг сайтът проксира заявката към действителния уебсайт.
  3. Действителният уебсайт връща екрана за многофакторно удостоверяване.
  4. Сайтът за фишинг проксиира екрана за многофакторно удостоверяване на потребителя.
  5. Потребителят извършва допълнителното удостоверяване.
  6. Фишинг сайтът проксира заявката към действителния уебсайт.
  7. Действителният уебсайт връща сесийната бисквитка.
  8. Сайтът за фишинг изисква потребителя.

След като бисквитката на сесията бъде получена, заплахата може да я използва, за да пропусне целия процес на удостоверяване, дори и при активирано многофакторно удостоверяване.

Информация за мащабната фишинг кампания Adversary-in-The-Middle

Инженерите на Microsoft наблюдаваха и анализираха мащабна фишинг кампания, която започна през септември 2021 г. Инженерите откриха „множество повторения“ на кампанията, която беше насочена към повече от 10 000 организации.

Основната атака беше насочена към потребителите на Office 365 и подмени страницата за онлайн удостоверяване на Office с помощта на проксита.

В една итерация на фишинг кампанията нападателят използва имейли с прикачени HTML файлове. Тези имейли са изпратени до множество получатели от една организация. В имейла получателите бяха информирани, че имат гласово съобщение.

Активирането на включения прикачен файл ще отвори HTML файла в браузъра по подразбиране на потребителя. Страницата информира потребителя, че гласовото съобщение се изтегля. Междувременно потребителят беше пренасочен към сайт за пренасочване; нападателят използва сайта за пренасочване, за да провери дали потребителят идва „от оригиналния HTML прикачен файл“.

Една от целите на това беше нападателят да успее да получи достъп до имейл адреса на потребителя. Имейл адресът беше попълнен автоматично на страницата за вход, за да изглежда по-малко подозрително.

Сайтът за фишинг изглеждаше като сайт за удостоверяване на Microsoft, с изключение на уеб адреса. Той проксира страницата за влизане в Azure Active Directory на организацията и включва брандирането на организацията.

Жертвите бяха пренасочени към главния уебсайт на Office, след като въведоха своите идентификационни данни и завършиха втората стъпка на проверка. Нападателят прихвана данните, включително сесийната бисквитка.

Данните дават на нападателя възможности за последващи действия, включително измами с плащания. Microsoft описва измамите с плащане по следния начин:

Измамата при плащане е схема, при която нападател подмамва целта на измама да прехвърли плащания към сметки, притежавани от нападателя. Това може да се постигне чрез отвличане и отговаряне на текущи свързани с финанси имейл нишки в пощенската кутия на компрометирания акаунт и примамване на целта на измамата да изпраща пари чрез фалшиви фактури, наред с други.

В наблюдаваната кампания нападателите са използвали достъпа си, за да намерят свързани с финанси имейли и прикачени файлове. Оригиналният фишинг имейл, изпратен до потребителя, беше изтрит, за да се премахнат следите от фишинг атаката.

След като нападателите открият имейл нишка, която биха могли да отвлекат, те създават правила за преместване на имейлите в архива и автоматично ги маркират като прочетени. След това нападателят би отговорил на „продължаващи имейл нишки, свързани с плащания и фактури между целта и служители от други организации“, и изтрива всички имейли от изпратените елементи и изтритата папка.

Как да защитим потребителите срещу фишинг от типа Adversary-in-The-Middle

Една възможност, която организациите имат, когато става въпрос за защита на служителите си срещу сложни фишинг атаки, е да внедрят политики за условен достъп, които допълват многофакторните защити за удостоверяване.

Тези правила могат да оценяват заявките за влизане, като използват други сигнали, например управлявани от самоличността сигнали, включително информация за IP, потребителско или групово членство, състояние на устройството и други.

Обучението на служителите и потребителите също играе важна роля. Повечето фишинг атаки изискват потенциалните жертви да станат активни по един или друг начин. Атаките може да изискват потребителите да кликват върху връзки, да отварят прикачени файлове или да извършват други действия. Повечето атаки не са успешни, когато потребителят остане пасивен и не попадне на капаните.

Допълнителна информация е достъпна на Блогът за сигурност на Microsoft.

Сега ти: ставали ли сте някога жертва на фишинг атака? Използвате ли специфични защити срещу фишинг?

Резюме

Office Phishing Attack заобикаля многофакторното удостоверяванеOffice Phishing Attack заобикаля многофакторното удостоверяване

Име на артикул

Office Phishing Attack заобикаля многофакторното удостоверяване

Описание

Изследователи и инженери по сигурността на Microsoft откриха масивна фишинг атака, която е насочена към повече от 10 000 организации от септември 2021 г.

Автор

Мартин Бринкман

Издател

Технологични новини на Ghacks

Лого

Реклама