微软本周指出,从2021年9月迄今,至少1万个组织成为中间人(Adversary-in-The-Middle,AiTM)网络钓鱼攻击的目标,且黑客主要锁定Office 365用户。由于黑客不仅窃取了用户的密码,也挟持了用户的登录期间,因而也能绕过双因素身份认证(Multi-Factor Authentication,MFA)机制。
黑客先是发送了网络钓鱼邮件,将用户跳转至AiTM网络钓鱼页面,进而窃取用户的凭证与期间Cookie,随之黑客即利用所取得的凭证及登录期间权限,以受害者的邮件账号展开商业电子邮件(BEC)诈骗。
图片来源/微软
微软描述了AiTM网络钓鱼活动的细节,指出黑客在用户与所要访问的目标网站之间部署了一个代理服务器(网络钓渔网站),当黑客以网络钓鱼邮件诱导用户访问目标网站时,代理服务器便充其中间的桥梁,使得该代理服务器得以取得用户所输入的密码,以及用户与目标网站之间创建的登录期间Cookie。
图片来源/微软
除了网址之外,该网络钓渔网站几乎与目标网站一模一样,而让用户难以发现。微软强调,该攻击无关用户所采用的登录机制,也非MFA机制的安全漏洞,仅仅是因为黑客挟持了用户的登录期间,而能以用户的身份运行。
此外,这些网络钓鱼活动显然是锁定Office 365用户,因为黑客所打造的冒牌网站就是伪装成Office的线上认证页面。
根据微软的分析,最快的攻击行动在盗走凭证及期间Cookie的5分钟之后,便展开了BEC诈骗。
微软建议组织可激活条件式访问政策,部署更先进的防网络钓鱼解决方案,或是持续侦测可疑与异常行为,抑或是使用Microsoft 365 Defender来对抗AiTM网络钓鱼攻击。