Una guerra a fine di phishing per cammino può hackerarti altresì giacché sei coperto attraverso MFA

Una campagna di phishing in corso può hackerarti anche quando sei protetto da MFA

Getty Images

Martedì, Microsoft ha dettagliato una campagna di phishing su larga scala in corso che può dirottare gli account utente quando sono protetti da misure di autenticazione a più fattori progettate per prevenire tali acquisizioni. Gli attori delle minacce dietro l’operazione, che da settembre hanno preso di mira 10.000 organizzazioni, hanno utilizzato il loro accesso segreto alle e-mail delle vittime. account di posta elettronica per indurre i dipendenti a inviare denaro agli hacker.

L’autenticazione a più fattori, nota anche come autenticazione a due fattori, MFA o 2FA, è il gold standard per la sicurezza dell’account. Richiede all’utente dell’account di verificare la propria identità fornendo qualcosa che possiede o controlla (chiave di sicurezza fisica, impronta digitale o scansione facciale o retina) oltre a qualcosa che conosce (password). Poiché il crescente utilizzo dell’AMF ha interrotto le campagne di acquisizione di account, gli aggressori hanno trovato il modo di reagire.

Nemico nel mezzo

Microsoft ha osservato una campagna che ha inserito un sito proxy controllato da un utente malintenzionato tra gli utenti dell’account e il server di lavoro a cui hanno tentato di connettersi. Quando un utente ha immesso una password su un sito proxy, il sito proxy l’ha inviata al server reale e ha ritrasmesso la risposta del server reale all’utente. Una volta completata l’autenticazione, l’attore della minaccia ha rubato il cookie di sessione inviato dal sito legittimo, quindi l’utente non deve autenticarsi nuovamente ogni volta che visita una nuova pagina. La campagna è iniziata con una truffa via email. e-mail con un allegato HTML che porta a un server proxy.

Un sito di phishing che dirotta il processo di autenticazione.
Aumento / Un sito di phishing che dirotta il processo di autenticazione.

“Abbiamo osservato che l’attaccante ha utilizzato un cookie di sessione rubato per autenticarsi in Outlook Online (outlook.office.com) dopo il primo accesso al sito di phishing dopo un account compromesso”, membri del Microsoft 365 Defender Research Team e Microsoft Threat Intelligence Centro” ha scritto a articolo del blog. “In molti casi, i cookie avevano una richiesta di MFA, il che significa che anche se l’organizzazione disponeva di una politica di MFA, l’attaccante utilizzava il cookie di sessione per ottenere l’accesso per conto dell’account compromesso”.

Pochi giorni dopo il furto del cookie, gli attori delle minacce hanno avuto accesso alle e-mail dei dipendenti. account di posta elettronica e cercato i messaggi che potrebbero essere utilizzati per la posta elettronica aziendale. in una truffa di compromissione e-mail in cui gli obiettivi sono stati ingannati in account che ritenevano appartenessero a colleghi o soci d’affari. Gli aggressori hanno utilizzato queste e-mail. thread di posta elettronica e un’identità falsa del dipendente per convincere l’altra parte a pagare.

Per impedire a un dipendente compromesso di scoprire la compromissione, gli attori delle minacce hanno creato regole di posta in arrivo che spostavano automaticamente e-mail specifiche. e-mail nella cartella di archivio e li ha contrassegnati come letti. Nei giorni successivi, l’attore delle minacce ha effettuato l’accesso periodicamente per verificare la presenza di nuove e-mail.

“Una volta, l’attaccante ha tentato più frodi contemporaneamente dalla stessa casella di posta compromessa”, hanno scritto gli autori del blog. “Ogni volta che l’attaccante trova un nuovo obiettivo di phishing, aggiorna la regola della posta in arrivo che ha creato per includere i domini dell’organizzazione di questi nuovi obiettivi.

” src=”https://cdn.arstechnica.net/wp-content/uploads/2022/07/phishing-bec-overview-640×370.png” width=”640″ height=”370″ srcset=”https:/ /cdn.arstechnica.net/wp-content/uploads/2022/07/phishing-bec-overview.png 2x”/>
Aumento / Una panoramica della campagna truffa e delle successive truffe BEC.

Microsoft

È così facile innamorarsi dei truffatori

Il post sul blog mostra quanto facilmente i dipendenti possano cadere in queste truffe. A causa dell’enorme e-mail volume di posta e carico di lavoro, spesso è difficile determinare se un messaggio è autentico. L’utilizzo dell’autenticazione a più fattori mostra già che l’utente o l’organizzazione sta praticando una buona igiene di sicurezza. Uno dei pochi elementi visivamente sospetti della truffa è il nome di dominio utilizzato nella pagina di destinazione del sito proxy. Tuttavia, data l’opacità della maggior parte delle pagine di accesso specifiche dell’organizzazione, anche un nome di dominio impreciso può essere un regalo morto.

Esempio di una pagina di destinazione di phishing
Aumento / Esempio di una pagina di destinazione di phishing

Microsoft

L’account Microsoft non può sostenere che l’implementazione dell’autenticazione a più fattori non sia uno dei modi più efficaci per prevenire le acquisizioni di account. Ciò significa che non tutti gli MFA sono creati uguali. I codici di autenticazione una tantum, anche tramite SMS, sono molto meglio di niente, ma possono essere falsificati o intercettati per abusi più esotici protocollo SS7 utilizzato per inviare messaggi di testo.

Il le forme più efficaci di AMF sono quelli che soddisfano gli standard del settore Alleanza FIDO. Questo tipo di MFA utilizza una chiave di sicurezza fisica, che può provenire come chiave da aziende come Yubico o Feitian, o anche dispositivi Android o iOS. L’autenticazione può essere eseguita anche tramite scansione delle impronte digitali o della retina, nessuna delle quali lascia mai il dispositivo dell’utente finale per prevenire il furto biometrico. Tutti gli MFA conformi a FIDO hanno in comune che non possono essere falsificati e utilizzano backend resistenti a questo tipo di campagna.

Leave a Comment