מיקרוסופט הזהירה את המשתמשים מפני גל מסוכן של התקפות דיוג של AiTM שכבר השפיעו על למעלה מ-10,000 ארגונים. ההתקפות מתרחשות מאז ספטמבר 2021 והן גונבות אישורי כניסה של משתמש Office 365.

תוקפים מסוגלים לעקוף את Office365 MFA

על ידי שימוש באתרי דיוג של יריב באמצע (AiTM), גורמים זדוניים יכולים לעקוף את אימות רב-גורמי (MFA) תכונה המופעלת על ידי משתמשי Office365 על ידי יצירת דף אימות מזויף של Office365.

בתהליך זה, התוקפים שואפים להשיג את קובץ ה-cookie של הפגישה של הקורבן באמצעות פריסת שרת פרוקסי בין היעד לאתר המזויף.

בעיקרו של דבר, התוקפים מיירטים הפעלות כניסה של Office365 כדי לגנוב פרטי כניסה. זה ידוע בשם חטיפת הפגישה. אבל דברים לא נעצרים שם.

התקפות AiTM מובילות להתקפות BEC ולהונאת תשלום

ברגע שהתוקף מקבל גישה לתיבת הדואר של הקורבן דרך אתר AiTM, הם יכולים להמשיך ולבצע התקפות עוקבות בדואר אלקטרוני (BEC). הונאות אלו כרוכות בהתחזות לעובדי החברה ברמה גבוהה על מנת להערים על עובדים לבצע פעולות שעלולות לגרום נזק לארגון.

זה הוביל למספר מקרים של הונאת תשלום על ידי גישה למסמכים הפיננסיים הפרטיים של ארגון היעד. אחזור נתונים אלה מוביל לעתים קרובות להעברת כספים לחשבונות הנשלטים על ידי תוקף.

instagram viewer

בפוסט ארוך על בלוג האבטחה של מיקרוסופט, טוענת החברה כי היא "זיהתה מספר איטרציות של קמפיין דיוג AiTM שניסה למקד ליותר מ-10,000 ארגונים מאז ספטמבר 2021".

התקפות אלו אינן מעידות על חולשת MFA

למרות שמתקפה זו ממנפת אימות רב-גורמי, היא אינה מייצגת שום סוג של חוסר יעילות מצד אמצעי האבטחה הזה. מיקרוסופט מציינת בפוסט בבלוג שלה כי הסיבה לכך היא ש"דיוג AiTM גונב את קובץ ה-cookie של הפגישה, התוקף מקבל אימות להפעלה מטעם המשתמש, ללא קשר לשיטת הכניסה האחרונה שימושים".

מכיוון שאימות רב-גורמי יכול להיות כל כך מגן, פושעי סייבר מפתחים דרכים להתגבר על כך, מה שמדבר יותר על הצלחת התכונה, ולא על האזהרות שלה. לכן, אין לראות במסע פרסום דיוג זה סיבה לביטול MFA בחשבונות שלך.

פישינג היא שיטת התקפה נפוצה להחריד

פישינג היא כעת שיטת התקפה מקוונת בצורה מפחידה, כאשר קמפיין AiTM הספציפי הזה מצליח להשפיע על אלפי צדדים לא יודעים. למרות שזה לא מרמז על חולשה של MFA, זה כן מראה שפושעי סייבר מפתחים כעת דרכים חדשות להתגבר על אמצעי אבטחה כאלה.