Microsoft heeft gebruikers gewaarschuwd voor een gevaarlijke golf van AiTM-phishingaanvallen die al meer dan 10.000 organisaties hebben getroffen. De aanvallen vinden plaats sinds september 2021 en stelen de inloggegevens van Office 365-gebruikers.
Aanvallers kunnen Office365 MFA omzeilen
Door adversary-in-the-middle (AiTM) phishing-websites te gebruiken, kunnen kwaadwillenden de multi-factor authenticatie (MFA) functie die wordt gebruikt door Office365-gebruikers door een valse Office365-verificatiepagina te maken.
In dit proces proberen aanvallers de sessiecookie van het slachtoffer te verkrijgen via de inzet van een proxyserver tussen het doelwit en de website die wordt vervalst.
In wezen onderscheppen de aanvallers Office365-aanmeldingssessies om inloggegevens te stelen. Dit staat bekend als sessie kaping. Maar daar houdt het niet op.
AiTM-aanvallen leiden tot BEC-aanvallen en betalingsfraude
Zodra de aanvaller via de AiTM-site toegang krijgt tot de mailbox van het slachtoffer, kan hij vervolgaanvallen uitvoeren op zakelijke e-mailcompromissen (BEC). Bij deze zwendelpraktijken wordt de identiteit van hoogstaand personeel van het bedrijf nagebootst om werknemers te misleiden tot het uitvoeren van acties die schade kunnen toebrengen aan de organisatie.
Dit heeft geleid tot meerdere gevallen van betalingsfraude door toegang te krijgen tot de persoonlijke financiële documenten van de doelorganisatie. Het ophalen van deze gegevens leidt er vaak toe dat geld wordt overgemaakt naar door aanvallers gecontroleerde accounts.
In een lang bericht op de Microsoft-beveiligingsblog, beweert het bedrijf dat het "meerdere herhalingen van een AiTM-phishing-campagne heeft gedetecteerd die sinds september 2021 meer dan 10.000 organisaties probeerde te targeten".
Deze aanvallen wijzen niet op MFA-zwakte
Hoewel deze aanval gebruikmaakt van multi-factor authenticatie, is het niet representatief voor enige vorm van ineffectiviteit van deze beveiligingsmaatregel. Microsoft stelt in zijn blogpost dat dit komt omdat "AiTM phishing de sessiecookie steelt, de aanvaller wordt geauthenticeerd voor een sessie namens de gebruiker, ongeacht de aanmeldingsmethode van de laatste toepassingen".
Omdat multi-factor authenticatie zo beschermend kan zijn, ontwikkelen cybercriminelen manieren om dit te omzeilen, wat meer spreekt over het succes van de functie dan over de kanttekeningen. Deze phishing-campagne mag dus NIET worden gezien als een reden om MFA op uw accounts te deactiveren.
Phishing is een angstaanjagend veel voorkomende aanvalsmethode
Phishing is nu een angstaanjagend veel voorkomende aanvalsmethode online, waarbij deze specifieke AiTM-campagne duizenden onwetende partijen heeft getroffen. Hoewel het niet wijst op een MFA-zwakte, laat het wel zien dat cybercriminelen nu nieuwe manieren ontwikkelen om dergelijke beveiligingsmaatregelen te omzeilen.
