Microsoft on hoiatanud kasutajaid ohtliku AiTM-i andmepüügirünnakute laine eest, mis on mõjutanud juba üle 10 000 organisatsiooni. Rünnakud on toimunud alates 2021. aasta septembrist ja nende käigus varastatakse Office 365 kasutajate sisselogimisandmeid.
Ründajad saavad Office365 MFA-st mööda minna
Andmepüügivastaste (AiTM) andmepüügiveebisaite kasutades saavad pahatahtlikud osapooled mitmefaktoriline autentimine (MFA) Office365 kasutajate kasutatav funktsioon, luues võlts Office365 autentimislehe.
Selle protsessi käigus püüavad ründajad hankida ohvri seansiküpsise puhverserveri kaudu sihtmärgi ja võltsitava veebisaidi vahele.
Põhimõtteliselt püüavad ründajad kinni Office365 sisselogimisseansse, et varastada sisselogimisteavet. Seda tuntakse kui seansi kaaperdamine. Kuid asjad ei lõpe sellega.
AiTM-i rünnakud põhjustavad BEC-i rünnakuid ja maksepettusi
Kui ründaja pääseb AiTM-i saidi kaudu ligi ohvri postkastile, saab ta jätkata ärimeilide kompromissi (BEC) rünnakuid. Need pettused hõlmavad ettevõtte kõrgetasemeliste töötajate esinemist, et meelitada töötajaid tegema toiminguid, mis võivad organisatsiooni kahjustada.
See on toonud kaasa mitmeid maksepettusi sihtorganisatsiooni erafinantsdokumentidele juurdepääsu kaudu. Nende andmete toomine viib sageli raha ülekandeni ründaja kontrollitud kontodele.
Pikas postituses Microsofti turbe ajaveebi, väidab ettevõte, et on "avastanud AiTM-i andmepüügikampaania mitu iteratsiooni, mis üritas alates 2021. aasta septembrist sihtida rohkem kui 10 000 organisatsiooni".
Need rünnakud ei viita MFA nõrkusele
Kuigi see rünnak kasutab mitmefaktorilist autentimist, ei näita see selle turvameetme ebaefektiivsust. Microsoft väidab oma ajaveebipostituses, et selle põhjuseks on asjaolu, et "AiTM-i andmepüük varastab seansiküpsise, ründaja autentitakse seansile kasutaja nimel, olenemata sisselogimismeetodist kasutab".
Kuna mitmefaktoriline autentimine võib olla nii kaitsev, töötavad küberkurjategijad välja viise, kuidas sellest üle saada, mis räägib pigem funktsiooni edust kui selle hoiatustest. Seega EI TOHI seda andmepüügikampaaniat pidada põhjuseks MFA deaktiveerimiseks oma kontodel.
Andmepüük on hirmutavalt levinud ründemeetod
Andmepüük on nüüd veebis hirmutavalt levinud ründemeetod, kuna see konkreetne AiTM-i kampaania suudab mõjutada tuhandeid teadmata osapooli. Kuigi see ei viita MFA nõrkusele, näitab see siiski, et küberkurjategijad töötavad praegu välja uusi viise sellistest turvameetmetest ülesaamiseks.