Microsoft подробно описывает фишинговую кампанию, нацеленную на более 10 000 организаций

Microsoft подробно описывает фишинговую кампанию, нацеленную на более 10 000 организаций Оставить комментарий

Мошенничество началось в сентябре 2021 года, и злоумышленникам удалось обойти многофакторную аутентификацию. Microsoft выявила крупномасштабную фишинговую кампанию, направленную на более чем 10 000 организаций с сентября 2021 года с целью кражи крупных сумм денег.

Как сообщает Ars Technica, в кампании используется метод «противник посередине» (AiTM) для вставки прокси-сайта между учетной записью сотрудника и рабочим сервером, к которому он пытается подключиться. Доступ к сайту, контролируемому злоумышленниками, осуществляется через вложение HTML в фишинговом письме.

Когда пользователь неосознанно вводит свои учетные данные на прокси-сайте, он передает их на реальный рабочий сервер, завершает аутентификацию пользователя для Outlook Online, затем получает файл cookie сеанса, чтобы убедиться, что аутентификация остается активной, и они могут получить доступ к учетной записи электронной почты сотрудника.

Согласно сообщению в блоге безопасностит исследовательской группой Microsoft 365 Defender, по крайней мере, некоторые из целевых организаций используют многофакторную проверку подлинности (MFA), но используемый тип MFA был недостаточно хорош, чтобы помешать злоумышленнику обойти его и получить доступ: «Во многих случаях файлы cookie содержали требование MFA, а это означает, что даже если в организации была политика MFA, злоумышленник использовал сеансовый файл cookie для получения доступа от имени скомпрометированной учетной записи».

После того, как доступ был установлен, злоумышленник использует правила для папки «Входящие», чтобы скрыть свою активность, ища как можно больше сотрудников и деловых партнеров, с которыми можно связаться. Затем отправляются электронные письма с просьбой перевести им крупные суммы денег под видом законного и убедительного платежного требования (известная как кампания по компрометации деловой электронной почты (BEC)). Поскольку сотрудники думают, что они работают в безопасной среде и получают электронные письма от известных партнеров, мошенничество очень эффективно, особенно в сочетании с правилами почтового ящика, используемыми здесь злоумышленником.

Существует несколько рекомендаций, которые помогут организациям защититься от этих фишинговых атак. Microsoft предлагает включить политики условного доступа (доверенные IP-адреса, совместимые устройства), непрерывный мониторинг подозрительных попыток входа и необычной активности в почтовом ящике, а также использовать расширенные антифишинговые решения для сканирования электронной почты и посещаемых веб-сайтов.

Как справедливо отмечает Ars Technica, не все решения MFA одинаковы. Организации, выбравшие решение MFA, совместимое с FIDO, основанное на выделенном физическом ключе безопасности или связанное с устройством Android или iOS, не могут подвергнуться фишингу таким образом.

Добавить комментарий

Ваш адрес email не будет опубликован.