微軟官方揭露了一起目前仍在進行中的大規模網路釣魚活動。即便使用者帳號啟用了多重身份認證保護措施,該活動依然可以劫持使用者帳戶。
自去年 9 月以來,這項網路釣魚活動已針對 10000 個組織進行了攻擊,透過受害者電子郵件帳號來誘騙員工向駭客匯款。
多重身份驗證(也稱為雙因素身份驗證、MFA 或 2FA)是帳戶安全的黃金標準。除了密碼之外,它還要求帳戶使用者以他們擁有或控制的東西(物理安全密鑰、指紋、面部或視網膜掃瞄)的形式證明他們的身份。MFA 技術的廣泛使用增加了攻擊難度。
但是,現在攻擊者已經找到了反擊的方法。
微軟觀察到一個網路釣魚活動,該活動始於一封帶有指向代理伺服器的 HTML 附件的網路釣魚電子郵件。他們會在帳戶使用者和他們嘗試登錄的工作伺服器之間插入了一個攻擊者控制的代理站點。當使用者向代理站點輸入密碼時,代理站點會將用戶輸入的密碼發送到真實伺服器,然後將真實伺服器的響應轉發回使用者。但是,當身份驗證完成後,攻擊者竊取了合法站點發送的會話 cookie。
Microsoft 365 Defender 研究團隊的成員和微軟威脅情報中心表示:「根據我們的觀察,在首次登錄網路釣魚站點的被盜帳戶後,攻擊者使用被盜的會話 cookie 對 Outlook 線上 (outlook.Office.com) 進行身份驗證。在多種情況下,cookie 都有 MFA 聲明,這意味著即使組織有 MFA 策略,攻擊者也會使用會話 cookie 來代表受害的帳戶獲得訪問權限。」
在 cookie 被盜後的幾天,威脅行為者登入了員工的電子郵件帳戶並尋找用於商業電子郵件洩露詐騙的消息,用來欺騙受害目標,將大筆資金匯入他們認為是同事或業務合作夥伴的帳戶。攻擊者使用這些電子郵件執行緒和被駭員工的偽造身份來說服對方付款。
為了防止被駭員工發現,威脅參與者創建了郵件收件箱規則,自動會將特定電子郵件移動到存檔文件夾並將其標記為已讀。在接下來的幾天裡,攻擊者會定期登錄受害者信箱以檢查新郵件。
員工很容易陷入此類騙局。大量的電子郵件和工作量通常使我們很難知道什麼是真實的。在這個騙局中,唯一可以讓用戶察覺到破綻的是代理站點登錄頁面中使用的域名。儘管如此,鑑於大多數組織特定登錄頁面的不透明性,即使是粗糙的域名也可能會讓人中招。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!