Сложная и незаметная кампания обходит многофакторную аутентификацию

12 июля Microsoft подробно рассказала о продолжающейся крупномасштабной фишинговой кампании, которая может похитить учетную запись пользователя, даже если он использует многофакторную аутентификацию (МФА) . Злоумышленник, с сентября атаковавший 10 000 организаций, использовал свой скрытый доступ к учетным записям электронной почты жертв, чтобы обманом заставить сотрудников отправить деньги хакерам.

Киберпреступник вставляет прокси-сайт между жертвой и сервером, на который пользователь пытается войти. Когда пользователь вводит пароль на прокси-сайте, сайт отправляет его на реальный сервер, а затем отправляет ответ сервера обратно пользователю.

После завершения аутентификации злоумышленник крадет cookie-файл сеанса, отправленный сайтом, поэтому пользователю не нужно проходить повторную аутентификацию при посещении каждой новой страницы. Кампания началась с фишингового письма с HTML-вложением, ведущим на прокси-сервер.

«После того, как скомпрометированная учетная запись впервые вошла на фишинговый сайт, злоумышленник использовал украденный cookie-файл сеанса для аутентификации в Outlook Online (outlook.office.com)», — сказали участники исследовательской группы Microsoft 365 Defender.

Также о кампании сообщила команда Microsoft Threat Intelligence Center в блоге . «Во многих случаях cookie-файлы содержали требование МФА, а это означает, что даже если в организации была политика МФА, злоумышленник использовал cookie-файл сеанса для получения доступа от имени скомпрометированной учетной записи».

Через несколько дней после кражи cookie-файлов злоумышленник получил доступ к учетным записям электронной почты сотрудников и стал искать сообщения для использования в BEC-мошенничестве . Киберпреступник обманным путем заставлял жертвы переводить большие суммы денег на счета, которые, по их мнению, принадлежали коллегам или деловым партнерам. Злоумышленник использовал ветки электронной почты и поддельную личность взломанного сотрудника, чтобы убедить другую сторону произвести платеж.

Чтобы взломанный сотрудник не обнаружил компрометацию, злоумышленник создал правила для папки «Входящие», которые автоматически перемещали определенные письма в архивную папку и помечали их как прочитанные. В течение следующих нескольких дней киберпреступник периодически входил в систему, чтобы проверить наличие новых электронных писем.

«Однажды хакер предпринял несколько попыток мошенничества одновременно с одного и того же взломанного почтового ящика», — пишут авторы блога. «Каждый раз, когда злоумышленник находил новую цель мошенничества, он обновлял созданное им правило папки «Входящие», чтобы включить домены организации новых целей».

Наиболее эффективными из доступных форм МФА являются те, которые соответствуют стандартам альянса FIDO . Эти типы МФА используют физический ключ безопасности, который поставляется в виде ключа от Android или iOS.

Аутентификация также может использовать отпечаток пальца или сетчатку глаза, которые всегда сохраняются на устройстве во избежание кражи биометрических данных. Все способы MFA Альянса FIDO не могут быть фишинговыми и используют серверные системы, устойчивые к этому типу продолжающейся кампании.