Microsoft hat Benutzer vor einer gefährlichen Welle von AiTM-Phishing-Angriffen gewarnt, von der bereits über 10.000 Organisationen betroffen sind. Die Angriffe finden seit September 2021 statt und stehlen Anmeldeinformationen von Office 365-Benutzern.
Angreifer können Office365 MFA umgehen
Durch die Verwendung von Adversary-in-the-Middle (AiTM)-Phishing-Websites können böswillige Parteien die Multi-Faktor-Authentifizierung (MFA) Funktion, die von Office365-Benutzern verwendet wird, indem eine gefälschte Office365-Authentifizierungsseite erstellt wird.
Bei diesem Prozess zielen Angreifer darauf ab, das Session-Cookie des Opfers über den Einsatz eines Proxy-Servers zwischen dem Ziel und der gespooften Website zu erhalten.
Im Wesentlichen fangen die Angreifer Office365-Anmeldesitzungen ab, um Anmeldeinformationen zu stehlen. Dies ist bekannt als Session-Hijacking. Aber die Dinge hören hier nicht auf.
AiTM-Angriffe führen zu BEC-Angriffen und Zahlungsbetrug
Sobald der Angreifer über die AiTM-Site Zugriff auf das Postfach des Opfers erhält, kann er weitere BEC-Angriffe (Business Email Compromise) durchführen. Diese Betrügereien beinhalten die Identität von hochrangigen Mitarbeitern des Unternehmens, um Mitarbeiter dazu zu bringen, Handlungen auszuführen, die der Organisation Schaden zufügen können.
Dies hat zu mehreren Fällen von Zahlungsbetrug geführt, indem auf die privaten Finanzdokumente der Zielorganisation zugegriffen wurde. Das Abrufen dieser Daten führt häufig dazu, dass Gelder auf von Angreifern kontrollierte Konten überwiesen werden.
In einem langen Post auf dem Microsoft-Sicherheitsblog, behauptet das Unternehmen, dass es „mehrere Iterationen einer AiTM-Phishing-Kampagne entdeckt hat, die seit September 2021 versucht hat, mehr als 10.000 Organisationen anzugreifen“.
Diese Angriffe weisen nicht auf eine MFA-Schwäche hin
Obwohl dieser Angriff die Multi-Faktor-Authentifizierung nutzt, ist er nicht repräsentativ für irgendeine Art von Ineffektivität seitens dieser Sicherheitsmaßnahme. Microsoft gibt in seinem Blog-Beitrag an, dass dies daran liegt, dass „AiTM-Phishing das Sitzungscookie stiehlt, das Angreifer wird für eine Sitzung im Namen des Benutzers authentifiziert, unabhängig von der Anmeldemethode des letzteren Verwendet".
Da die Multi-Faktor-Authentifizierung so schützend sein kann, entwickeln Cyberkriminelle Wege, sie zu überwinden, was eher für den Erfolg der Funktion spricht als für ihre Vorbehalte. Diese Phishing-Kampagne sollte also NICHT als Grund gesehen werden, MFA auf Ihren Konten zu deaktivieren.
Phishing ist eine erschreckend verbreitete Angriffsmethode
Phishing ist heute eine erschreckend häufige Angriffsmethode im Internet, wobei diese spezielle AiTM-Kampagne Tausende von unwissenden Parteien in Mitleidenschaft zieht. Obwohl es nicht auf eine MFA-Schwäche hindeutet, zeigt es doch, dass Cyberkriminelle jetzt neue Wege entwickeln, um solche Sicherheitsmaßnahmen zu überwinden.