A Microsoft alertou os usuários sobre uma perigosa onda de ataques de phishing AiTM que já afetaram mais de 10.000 organizações. Os ataques ocorrem desde setembro de 2021 e estão roubando as credenciais de login do usuário do Office 365.
Os invasores são capazes de ignorar o Office365 MFA
Ao usar sites de phishing do tipo adversário no meio (AiTM), as partes mal-intencionadas podem contornar o autenticação multifator (MFA) recurso empregado pelos usuários do Office365 criando uma página de autenticação falsa do Office365.
Nesse processo, os invasores visam obter o cookie de sessão da vítima por meio da implantação de um servidor proxy entre o alvo e o site que está sendo falsificado.
Essencialmente, os invasores estão interceptando as sessões de entrada do Office365 para roubar informações de login. Isso é conhecido como seqüestro de sessão. Mas as coisas não param por aí.
Ataques AiTM levam a ataques BEC e fraude de pagamento
Assim que o invasor obtém acesso à caixa de correio da vítima por meio do site da AiTM, ele pode realizar ataques de comprometimento de e-mail comercial (BEC) subsequentes. Esses golpes envolvem a representação de funcionários de alto nível da empresa para induzir os funcionários a realizar ações que podem causar danos à organização.
Isso levou a vários casos de fraude de pagamento ao acessar os documentos financeiros privados da organização-alvo. A recuperação desses dados geralmente leva à transferência de fundos para contas controladas por invasores.
Em um longo post sobre o blog de segurança da Microsoft, a empresa afirma que "detectou várias iterações de uma campanha de phishing AiTM que tentou atingir mais de 10.000 organizações desde setembro de 2021".
Esses ataques não são indicativos de fraqueza de MFA
Embora esse ataque esteja aproveitando a autenticação multifator, ele não representa nenhum tipo de ineficácia por parte dessa medida de segurança. A Microsoft afirma em sua postagem no blog que isso ocorre porque "o phishing do AiTM rouba o cookie de sessão, o o invasor é autenticado em uma sessão em nome do usuário, independentemente do método de login deste último usa".
Como a autenticação multifator pode ser tão protetora, os cibercriminosos estão desenvolvendo maneiras de superá-la, o que fala mais do sucesso do recurso do que de suas ressalvas. Portanto, essa campanha de phishing NÃO deve ser vista como um motivo para desativar a MFA em suas contas.
Phishing é um método de ataque assustadoramente comum
Phishing é agora um método de ataque online assustadoramente comum, com esta campanha AiTM em particular conseguindo afetar milhares de partes desconhecidas. Embora não seja sugestivo de uma fraqueza da MFA, mostra que os cibercriminosos estão desenvolvendo novas maneiras de superar essas medidas de segurança.