安全企业Zscaler本周警告,他们在今年6月发现了一个大规模的网络钓鱼活动,该恶意活动锁定了使用微软电子邮件服务的企业,而且采用了先进的中间人(Adversary-in-The-Middle,AiTM)攻击,以绕过多因素认证(Multi-Factor Authentication,MFA)机制,目的是挟持受害者的微软账号,并展开商业电子邮件诈骗(Business Email Compromise,BEC)。
在AiTM网络钓鱼攻击中,黑客在用户与所访问的网站之间创建一个代理服务器,借以窃取用户所输入的凭证,以及已通过身份认证的期间Cookie,因而得以挟持用户的账号。
微软在今年7月初也曾披露类似的攻击行动,强调黑客是借由AiTM盗走了期间Cookie,因而不论用户采用任何身份认证方法,都无损于黑客获准进入期间的能力,并非为MFA的安全漏洞。
根据Zscaler的观察,黑客的攻击对象遍布美国、英国、新西兰与澳洲,涵盖金融科技、借贷、保护、能源与制造业,虽然坊间已有常见的AiTM网络钓鱼组件,诸如Evilginx2、Muraena与Modlishka,但黑客在这波攻击中使用的是定制化组件,且在文章发布时,相关攻击仍在持续中,每天都会注册新的网络钓渔网站。
所有的攻击都是始于网络钓鱼邮件,并于邮件中嵌入恶意连接,有些企业的主管在被黑之后,其账号还被用来发送更多的网络钓鱼邮件,黑客也滥用合法的CodeSandbox与Glitch等服务(下图),以及部署了各种伪装,以确保不被安全管理人员或安全机制发现。
图片来源/Zscaler
Zscaler也部署了一个诱捕系统(Honey Pot),访问黑客所提供的网络钓渔网页、输入了凭证并完成多因素认证,发现黑客在取得凭证的8分钟之后,便登录了Zscaler所设立的账号,不过,黑客只是检查了该账号的用户文件,并读取了电子邮件,并未执行其它的恶意行动。但这8分钟令Zscaler猜测账号被危害之后的攻击行动,是手动而非自动化的。
另一方面,根据美国联邦调查局(FBI)网络犯罪投诉中心(Internet Crime Complaint Center,IC3)2021年的统计,商业电子邮件诈骗(Business Email Compromise,BEC)是去年网络犯罪投诉数量排行榜上的第九名,远不如网络钓鱼、交易诈骗、个人信息外泄、身份窃盗或勒索等,但该类型的诈骗却高居损失排行榜的第一名,去年因BEC而造成的损失为24亿美元,占所有网络犯罪金额的35%,也难怪黑客费力部署AiTM的最终目的是进行商业电子邮件诈骗。
Zscaler也已公布此波大规模网络钓鱼攻击的网络入侵指标(IOC)供外界参考。