Hakerzy mogą przejąć kontrolę nad kontami e-mail programu Outlook, nawet jeśli są one chronione za pomocą uwierzytelniania wieloskładnikowego, ostrzega Microsoft.
Zespoły ds. cyberbezpieczeństwa przedsiębiorstwa w Threat Intelligence Center i zespół badawczy usługi Microsoft 365 Defender wykryły (otwiera się w nowej karcie) nową kampanię phishingową na dużą skalę, która w ciągu ostatniego roku była ukierunkowana na ponad 10 000 firm.
Zaatakowane konta e-mail są następnie wykorzystywane do ataków Business Email Compromise (BEC), w których partnerzy biznesowi, klienci i klienci ofiary zostają oszukani z pieniędzy.
Kraść sesyjne pliki cookie
Ofiara otrzymywała wiadomość e-mail phishingową zawierającą łącze umożliwiające zalogowanie się na swoje konto Outlook. Jednak ten link prowadziłby ich do strony proxy, najwyraźniej identycznej z legalną witryną. Ofiara próbowała się połączyć, a strona proxy na to zezwoliła, wysyłając wszystkie dane.
Jednak gdy ofiara zakończy proces uwierzytelniania, osoba atakująca ukradnie sesyjny plik cookie. Ponieważ użytkownik nie musi ponownie uwierzytelniać się przy każdej nowej wizycie na stronie, daje to również atakującemu pełny dostęp.
„Z naszych obserwacji wynika, że po tym, jak przejęte konto zalogowało się do witryny phishingowej po raz pierwszy, atakujący użył skradzionego pliku cookie sesji do uwierzytelnienia w usłudze Outlook Online (outlook.office.com)” — czytamy we wpisie na blogu firmy Microsoft. „W kilku przypadkach pliki cookie miały roszczenie MFA (otwiera się w nowej karcie), co oznacza, że chociaż organizacja miała politykę MFA, atakujący użył pliku cookie sesji, aby uzyskać dostęp do nazwy konta. zaangażowany”.
Po zdobyciu konta e-mail osoby atakujące nadal atakowały kontakty w skrzynce odbiorczej, używając skradzionych tożsamości, aby spróbować nakłonić je do wysyłania płatności o różnej wysokości.
Aby upewnić się, że pierwotna ofiara nie wie, że jej konta e-mail są nadużywane, osoby atakujące konfigurują reguły skrzynki odbiorczej na punkcie końcowym, oznaczając domyślnie wiadomości e-mail jako przeczytane i natychmiast przenosząc je do archiwum. Atakujący mieli sprawdzać skrzynkę odbiorczą co dwa dni.
„Pewnego razu osoba atakująca wykonała wiele prób oszustwa jednocześnie z tej samej zainfekowanej skrzynki pocztowej” — wyjaśnia Microsoft. „Za każdym razem, gdy atakujący znalazł nowy cel oszustwa, aktualizował utworzoną przez siebie regułę skrzynki odbiorczej, aby uwzględnić domeny organizacyjne tych nowych celów”.
