微软本周指出,从2021年9月迄今,至少1万个组织成为中间人(adversary-in-the-middle,aitm)网络钓鱼攻击的目标,且黑客主要锁定office 365用户。由于黑客不仅窃取了用户的密码,也挟持了用户的登录期间,因而也能绕过双因素身份认证(multi-factor authentication,mfa)机制。
黑客先是发送了网络钓鱼邮件,将用户跳转至aitm网络钓鱼页面,进而窃取用户的凭证与期间cookie,随之黑客即利用所取得的凭证及登录期间权限,以受害者的邮件账号展开商业电子邮件(bec)诈骗。
图片来源/微软
微软描述了aitm网络钓鱼活动的细节,指出黑客在用户与所要访问的目标网站之间部署了一个代理服务器(网络钓渔网站),当黑客以网络钓鱼邮件诱导用户访问目标网站时,代理服务器便充其中间的桥梁,使得该代理服务器得以取得用户所输入的密码,以及用户与目标网站之间创建的登录期间cookie。
图片来源/微软
除了网址之外,该网络钓渔网站几乎与目标网站一模一样,而让用户难以发现。微软强调,该攻击无关用户所采用的登录机制,也非mfa机制的安全漏洞,仅仅是因为黑客挟持了用户的登录期间,而能以用户的身份运行。
此外,这些网络钓鱼活动显然是锁定office 365用户,因为黑客所打造的冒牌网站就是伪装成office的线上认证页面。
根据微软的分析,最快的攻击行动在盗走凭证及期间cookie的5分钟之后,便展开了bec诈骗。
微软建议组织可激活条件式访问政策,部署更先进的防网络钓鱼金沙软件免费下载的解决方案,或是持续侦测可疑与异常行为,抑或是使用microsoft 365 defender来对抗aitm网络钓鱼攻击。