微软已经确定了一个大规模的钓鱼活动自2021年9月以来,该组织瞄准了1万多个组织,试图窃取大量资金。
作为Ars Technica报道(在新窗口打开),该攻击使用中间对手(AiTM)技术在员工的帐户和他们试图连接的工作服务器之间插入代理站点。攻击者控制的网站是通过钓鱼邮件中的HTML附件访问的。
当用户在不知情的情况下将其凭证输入代理站点时,代理站点将其中继到实际工作服务器,在线完成Outlook的用户身份验证,然后获取会话cookie以确保身份验证仍然有效,并且他们可以访问员工的电子邮件帐户。
根据安全博客文章(在新窗口打开)通过微软365卫士研究团队,至少有一些目标组织正在使用多因素认证(MFA),但所使用的MFA类型不足以阻止攻击者绕过它并获得访问权限,“在多种情况下,cookie具有MFA声明,这意味着即使组织有MFA策略,攻击者也会使用会话cookie代表被破坏的帐户获得访问权限。”
一旦建立了访问权限,攻击者就会使用收件箱规则隐藏自己的活动,同时搜索尽可能多的同事和业务伙伴进行联系。然后,以合法和令人信服的付款要求为幌子,发送电子邮件,要求将大笔资金电汇给他们(称为商业电子邮件妥协(BEC)活动)。由于员工认为他们是在一个安全的环境中工作,并从已知的同事那里接收电子邮件,因此这种骗局非常有效,特别是当结合攻击者在这里使用的收件箱规则时。
有几个建议可以帮助组织防御这些网络钓鱼攻击。微软建议启用有条件的访问策略(受信任的ip,合规的设备),持续监控可疑的登录尝试和不寻常的邮箱活动,并使用先进的反钓鱼解决方案扫描电子邮件和访问的网站。
正如Ars Technica所正确指出的那样,并非全部MFA的解决方案是相等的。选择符合fido的MFA解决方案的组织依赖于专用物理安全密钥或与安卓或iOS设备,不能用这种方式钓鱼。