Тревожная фишинговая кампания проникает через систему безопасности МИД, чтобы осуществить финансовое мошенничество

фишинговая кампания обходит новости о финансовом мошенничестве mfa

Фишинговые атаки используют различные методы, чтобы заставить пользователей передать конфиденциальную информацию, такую ​​как учетные данные для входа. Со временем, когда пользователи стали более подозрительными, а почтовые клиенты, веб-браузеры и ИТ-отделы внедрили меры по борьбе с фишингом, мошенникам пришлось проявить изобретательность и разработать более изощренные методы фишинга. Ранее в этом году мы писали о методе фишинга, который использует JavaScript для создания анимированного окна в браузерах жертв, чтобы оно выглядело более законным.

Теперь же Microsoft опубликовала подробности о изощренной фишинговой кампании с возможностью обхода многофакторной аутентификации (MFA). Многие фишинговые атаки отправляют ничего не подозревающих жертв на страницу входа в систему, которая имитирует законный и заслуживающий доверия веб-сайт, но на самом деле не имеет связи с законным сайтом, а вместо этого просто крадет учетные данные пользователя. Позже злоумышленник может использовать эти учетные данные для входа в учетные записи жертв. Методы MFA, такие как одноразовые пароли на основе времени (TOTP), могут помочь предотвратить подобные фишинговые атаки, требуя, чтобы пользователи вводили чувствительный ко времени код для завершения процесса входа в систему. В случае TOTP требуемый код действителен только в течение тридцати секунд, что делает фишинговые атаки, собирающие учетные данные пользователя для последующего использования, неэффективными.

фишинговая кампания обход финансового мошенничества mfa перехват новостей
Схема фишинговой атаки «противник посередине» (источник: Microsoft )

Однако некоторые фишинговые атаки, подобные недавно задокументированной Microsoft, за кулисами делают гораздо больше, чем просто собирают учетные данные для входа. Microsoft подробно описала фишинговую кампанию «противник посередине» (AiTM), в которой мошеннические веб-сайты выступают в качестве прокси-серверов между жертвами и законными веб-сайтами. Пользователям предлагается ввести свои учетные данные для входа, но вместо того, чтобы хранить эти учетные данные, мошеннический веб-сайт вместо этого перенаправляет учетные данные для входа на законный сайт, который имитируется.

Если учетные данные пользователя действительны и MFA включена, законный веб-сайт возвращает приглашение MFA, которое вредоносный сервер проксирует обратно пользователю. По завершении необходимого шага MFA фишинговый сайт передает информацию для проверки подлинности на законный веб-сайт, который выдает файл cookie сеанса, который обычно проверяет текущий аутентифицированный сеанс пользователя. Однако, поскольку файл cookie был отправлен на вредоносный сервер, злоумышленник получает аутентифицированный сеанс, а не жертва.

фишинговая кампания обход финансового мошенничества mfa обзор новости
Схема более крупной фишинговой атаки, частью которой является фишинговый сайт AiTM (источник: Microsoft)

Эта сложная фишинговая атака AiTM — только один шаг в более крупной фишинговой кампании, задокументированной Microsoft. Полная атака начинается с фишингового электронного письма, которое перенаправляет пользователей на фишинговый сайт AiTM. Как только вредоносный прокси-сервер, лежащий в основе фишинговой страницы AiTM, получает файл cookie сеанса, злоумышленник использует сеанс аутентифицированного пользователя для мошенничества с платежами. Данные об угрозах Microsoft 365 Defender показывают, что злоумышленнику может потребоваться всего пять минут после предоставления файла cookie сеанса, чтобы начать процесс мошенничества с платежами.

Фишинговая кампания нацелена на учетные записи электронной почты Outlook, что позволяет злоумышленнику получить доступ к финансовым электронным письмам жертв с целью поиска текущих потоков электронной почты. Если такой поток присутствует, злоумышленник пытается убедить корреспондентов жертвы отправить средства на счета, контролируемые злоумышленником. Microsoft также обнаружила, что злоумышленник удаляет исходное фишинговое письмо, чтобы убрать признаки компрометации, и устанавливает правила для входящих сообщений, которые скрывают переписку злоумышленника с объектами финансового мошенничества.

Способность этой фишинговой кампании обойти меры MFA вызывает тревогу, но Microsoft подчеркивает, что кампания не использует какие-либо уязвимости в самом MFA. “ [S]Поскольку фишинг AiTM крадет файл cookie сеанса, злоумышленник проходит аутентификацию в сеансе от имени пользователя, независимо от метода входа, который использует последний. ” MFA по-прежнему повышает безопасность; он просто не защищает от этого конкретного вида атаки.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал