Logo HSC-01

Phishing burla autenticação MFA da Microsoft

Descoberta uma enorme campanha de Phishing burla autenticação MFA da Microsoft pode roubar credenciais de usuários, mesmo se  tiverem a autenticação multifator (MFA) habilitada.

Os invasores usam ataques do tipo man-in-the-middle para roubar senhas, sequestrar sessões de login com e pular a autenticação e, em seguida, roubar credenciais de acesso e usar a caixa de correio da vítima para lançar ataques com fraudes de CEO (BEC) contra outros alvos. 

Pesquisadores da Microsoft descobriram uma enorme campanha de phishing que pode roubar credenciais mesmo se os usuários tiverem a autenticação multifator (MFA) habilitada e tentaram comprometer mais de 10.000 organizações até o momento. 

Principais tópicos deste artigo

Como o Phishing burla autenticação MFA da Microsoft

A campanha, que está ativa desde setembro de 2021, conta com o uso de um site de phishing (AiTM) no meio do ataque inicial para sequestrar cookies de sessão e roubar credenciais.

A partir daí, os invasores podem acessar as caixas de correio dos usuários das vítimas para lançar mais ataques em outros alvos, escreveu a equipe de pesquisa do Microsoft 365 Defender e também divulgado pelo Threatpost.

Os pesquisadores explicaram que em um ataque AiTM, o invasor implanta um servidor proxy entre o usuário alvo e o site que o usuário deseja visitar, ou seja, o site que o invasor deseja representar. “Esta configuração permite que os invasores roubem e interceptem a senha e os cookies de sessão do alvo, que comprovam sua sessão contínua e autenticada com o site”, escreveram. 

É importante ressaltar que esse tipo de ataque de phishing que rouba credenciais, não indica uma vulnerabilidade no tipo de MFA empregado pelo sistema de e-mail da empresa, acrescentaram.

O phishing da AiTM rouba cookies de sessão, para que o invasor se autentique na sessão em nome do usuário, independentemente de qual método de login este último usa, disseram os pesquisadores. Na verdade, à medida que as organizações usam cada vez mais a MFA para proteger melhor as contas dos usuários, criminosos criam ataques de phishing mais sofisticados Os invasores estão ficando mais inteligentes, disse um especialista em segurança.

O phishing AiTM, descompactado

Em sua observação da campanha, os pesquisadores da Microsoft investigaram como esses tipos de ataques funcionam e como eles podem ser usados ​​para lançar uma violação secundária de e-mail comercial assim que o acesso inicial à conta de alguém é obtido, disseram eles.

Os pesquisadores explicaram que o ataque de phishing do AiTM depende de cada serviço da Web moderno que implementa uma sessão com o usuário após a autenticação bem-sucedida, para que o usuário não precise se autenticar em cada nova página que visita.

Esta funcionalidade de sessão é implementada por meio de um cookie de sessão fornecido pelo serviço de autenticação após a autenticação inicial.

O cookie de sessão prova ao servidor web que o usuário está autenticado e tem uma sessão persistente no site.

Os pesquisadores observaram que esse ataque é particularmente conveniente para os agentes de ameaças porque elimina a necessidade de criar seus próprios sites de phishing, como os usados ​​em campanhas tradicionais de phishing. vetor de ataque específico Em uma campanha de phishing observada por pesquisadores da Microsoft, os invasores contatam vítimas em potencial enviando emails com anexos de arquivos HTML para vários destinatários em diferentes organizações.

As mensagens afirmam que o destinatário tem uma mensagem de correio de voz e precisa clicar no anexo para acessá-lo ou será excluído em 24 horas. Se o usuário clicar no link, ele será redirecionado para um site que diz que será redirecionado de volta para sua caixa de correio dentro de uma hora, completo com áudio. Ao mesmo tempo, eles foram solicitados a fazer login com suas credenciais.

Seu free trial começa aqui

Codificação inteligente

Neste ponto, no entanto, o ataque faz algo único usando codificação inteligente, preenchendo automaticamente a página de destino do phishing com o endereço de e-mail do usuário, “aumentando assim sua atração de engenharia social”, observaram os pesquisadores.

Se um alvo inserir suas credenciais e for autenticado, ele será redirecionado para a página legítima do Microsoft office.com. No entanto, em segundo plano, o invasor intercepta as credenciais e é autenticado em nome do usuário, dando liberdade para realizar atividades subsequentes, disseram os pesquisadores.

Na cadeia de e-mail de phishing que os pesquisadores observaram, o agente da ameaça usou a autenticação para cometer fraudes de pagamento em ataques secundários de dentro da organização, disseram os pesquisadores.

BEC e monitoramento de fraude de pagamento

 Os invasores iniciaram o processo de fraude de pagamento menos de cinco minutos após sequestrar sessões e roubar credenciais, autenticando-se no Outlook para acessar e-mails e anexos de arquivos relacionados a finanças, disseram os pesquisadores. 

No dia seguinte, eles acessaram esses e-mails e arquivos a cada poucas horas, procurando oportunidades para cometer fraudes. 

Os pesquisadores acrescentaram que os agentes de ameaças também excluíram os e-mails de phishing originais que enviaram das pastas da caixa de entrada das contas infectadas para ocultar rastros de sua visita inicial. “Essas atividades indicam uma tentativa manual dos invasores de realizar fraudes de pagamento”, escreveram. 

Os invasores também usaram o Outlook Web Access (OWA) no navegador Chrome para cometer fraudes de pagamento usando cookies de sessão roubados de contas comprometidas, acrescentaram os pesquisadores.

Previna-se contra este tipo de ataque

Sabe-se que 90% dos ataques bem sucedidos iniciam como este, com um e-mail de phishing direcionado ao usuário.

Muitas empresas confiam unicamente na proteção padrão da Microsoft para proteger as mensagens corporativas.

É importante adicionar camadas de proteção extra á plataforma, como por exemplo o HSC Mailinspector Cloud com módulo de integração através da API da Microsoft.

Saiba mais sobre como funciona este módulo em nosso site neste link.

Cultura de segurança

Além da proteção, é importante que usuários recebam o devido treinamento sobre como funcionam estes ataques e aprendam a identificar estes quando forem expostos.

Para isso há ferramentas como o HSC MindAware que são capazes de treinar os usuários e implantar na empresa uma cultura de segurança, criando um ambiênte em que os usuários podem colaborar com as políticas de cibersegurança implementadas pela TI.

Além do treinamento, é importante que os usuários também participem de testes práticos com campanhas de phishing e outros ataques simulados em um ambiente seguro e controlado.

Seu free trial começa aqui

Newsletter