微软官方揭露了一起目前仍在进行中的大规模网络钓鱼活动。 即便用户账号启用了多因素身份认证保护措施,该活动依然可以劫持用户账户。
自去年9月以来,这项网络钓鱼活动已针对10000个组织进行了攻击,透过受害者电子邮件账号来诱骗员工向黑客汇款。
多因素身份验证(也称为双因素身份验证、MFA或2FA)是账户安全的黄金标准。 除了密码之外,它还要求账户用户以他们拥有或控制的东西(物理安全密钥、指纹、面部或视网膜扫瞄)的形式证明他们的身份。 MFA 技术的广泛使用增加了攻击难度。
但是,现在攻击者已经找到了反击的方法。
微软观察到一个网络钓鱼活动,该活动始于一封带有指向代理服务器的HTML附件的网络钓鱼电子邮件。 他们会在账户用户和他们尝试登录的工作服务器之间插入了一个攻击者控制的代理站点。 当用户向代理站点输入密码时,代理站点会将用户输入的密码发送到真实服务器,然后将真实服务器的响应转发回用户。 但是,当身份验证完成后,攻击者窃取了合法站点发送的会话 cookie。
▲ 钓鱼网站拦截身份验证过程
Microsoft 365 Defender 研究团队的成员和微软威胁情报中心表示:「根据我们的观察,在首次登录网络钓鱼站点的被盗帐户后,攻击者使用被盗的会话 cookie 对 Outlook 在线 (outlook.Office.com) 进行身份验证。 在多种情况下,cookie都有MFA声明,这意味着即使组织有MFA策略,攻击者也会使用会话cookie来代表受害的账户获得访问权限。」
在 cookie 被盗后的几天,威胁行为者登入了员工的电子邮件账户并寻找用于商业电子邮件泄露诈骗的消息,用来欺骗受害目标,将大笔资金汇入他们认为是同事或业务合作伙伴的账户。 攻击者使用这些电子邮件程程和被骇员工的伪造身份来说服对方付款。
为了防止被骇员工发现,威胁参与者创建了邮件收件箱规则,自动会将特定电子邮件移动到存档文件夹并将其标记为已读。 在接下来的几天里,攻击者会定期登录受害者信箱以检查新邮件。
员工很容易陷入此类骗局。 大量的电子邮件和工作量通常使我们很难知道什么是真实的。 在这个骗局中,唯一可以让用户察觉到破绽的是代理站点登录页面中使用的域名。 尽管如此,鉴于大多数组织特定登录页面的不透明性,即使是粗糙的域名也可能会让人中招。
微信扫一扫
