Microsoft cảnh báo về các cuộc tấn công lừa đảo AiTM ảnh hưởng đến hơn 10.000 tổ chức

Microsoft đang cảnh báo người dùng về một chiến dịch lừa đảo AiTM quy mô lớn đã nhắm mục tiêu vào hàng chục nghìn tổ chức kể từ tháng 9 năm 2021.

Microsoft đã cảnh báo người dùng về làn sóng nguy hiểm của các cuộc tấn công lừa đảo AiTM đã ảnh hưởng đến hơn 10.000 tổ chức. Các cuộc tấn công đã diễn ra từ tháng 9 năm 2021 và đang đánh cắp thông tin đăng nhập của người dùng Office 365.

Những kẻ tấn công có thể vượt qua Office365 MFA

Bằng cách sử dụng các trang web lừa đảo nạn nhân ở giữa (AiTM), các bên độc hại có thể bỏ qua tính năng xác thực đa yếu tố (MFA) được người dùng Office365 sử dụng bằng cách tạo một trang xác thực Office365 giả mạo.

Trong quá trình này, những kẻ tấn công nhằm mục đích lấy được cookie phiên của nạn nhân thông qua việc triển khai máy chủ proxy giữa mục tiêu và trang web đang bị giả mạo.

Về cơ bản, những kẻ tấn công đang chặn các phiên đăng nhập Office365 để lấy cắp thông tin đăng nhập. Đây được gọi là chiếm quyền điều khiển phiên. Nhưng mọi thứ không dừng lại ở đó.

Các cuộc tấn công AiTM dẫn đến các cuộc tấn công BEC và gian lận thanh toán

Sau khi kẻ tấn công có quyền truy cập vào hộp thư của nạn nhân thông qua trang AiTM, chúng có thể tiếp tục thực hiện các cuộc tấn công xâm nhập email doanh nghiệp (BEC) tiếp theo. Những trò gian lận này liên quan đến việc mạo danh nhân viên cấp cao của công ty để lừa nhân viên thực hiện các hành động có thể gây tổn hại cho tổ chức.

Điều này đã dẫn đến nhiều trường hợp gian lận thanh toán bằng cách truy cập vào các tài liệu tài chính cá nhân của tổ chức mục tiêu. Việc truy xuất dữ liệu này thường dẫn đến tiền được chuyển đến các tài khoản do kẻ tấn công kiểm soát.

Trong một bài đăng dài trên Microsoft Security Blog, công ty tuyên bố rằng họ đã "phát hiện nhiều lần lặp lại của một chiến dịch lừa đảo AiTM đã cố gắng nhắm mục tiêu hơn 10.000 tổ chức kể từ tháng 9 năm 2021".

Các cuộc tấn công này không phải là dấu hiệu cho thấy điểm yếu của MFA

Mặc dù cuộc tấn công này đang tận dụng xác thực đa yếu tố, nhưng nó không đại diện cho bất kỳ hình thức không hiệu quả nào về mặt của biện pháp bảo mật này. Microsoft tuyên bố trong bài đăng trên blog của mình rằng điều này là do "AiTM lừa đảo lấy cắp cookie phiên, kẻ tấn công được xác thực phiên thay mặt cho người dùng, bất kể phương thức đăng nhập mà sau này sử dụng".

Bởi vì xác thực đa yếu tố có thể bảo vệ rất tốt, tội phạm mạng đang phát triển các cách để vượt qua nó, điều này nói lên thành công của tính năng này nhiều hơn là những cảnh báo trước của nó. Vì vậy, chiến dịch lừa đảo này KHÔNG nên được coi là lý do để hủy kích hoạt MFA trên tài khoản của bạn.

Lừa đảo là một phương pháp tấn công phổ biến đáng sợ

Lừa đảo hiện là một phương thức tấn công trực tuyến phổ biến đáng sợ, với chiến dịch AiTM cụ thể này có thể ảnh hưởng đến hàng nghìn bên không quen biết. Mặc dù nó không gợi ý về điểm yếu của MFA, nhưng nó cho thấy tội phạm mạng hiện đang phát triển những cách mới để vượt qua các biện pháp bảo mật như vậy.

Hương