發布單位:TWCERT/CC
更新日期:2022-07-14
點閱次數:1613
Microsoft 日前發表研究報告,指出目前正有一波進行中的大規模釣魚攻擊,鎖定 10000 家以上公私單位發動駭侵攻擊;特別的是,該攻擊可以挾持受害者的 Office 365 登入驗證程序,即使是以多重驗證機制保護的登入程序亦可破解。
據 Microsoft 的資安通報指出,駭侵者使用了可以挾持 Office 365 登入程序頁面的釣魚入口網頁,當受害者收到釣魚信件,點按信件中的釣魚連結後,就會被導到釣魚網頁入口,在竊得用戶輸入的登入資訊和操作階段 cookie 後,還會透過代理(proxy)手段,將收到的多重驗證碼輸入頁面轉給用戶,由用戶輸入驗證碼後,再由駭侵者「代為登入」後,駭侵者即可進入目標系統中,進行進一步的駭侵攻擊。
Microsoft 在報告中稱這種攻擊手法為 Adversary-in-the-middle(AiTM),且這種攻擊手法可以使用如 Evilginx2、Modlishka、Muraena 等多種開源釣魚攻擊工具來進行自動化操作。
Microsoft 指出,該公司透過分析來自 Microsoft 365 Defender 的各種資料,發現自 2021 年 9 月起,這類 AiTM 攻擊便大量出現,攻擊對象超過 10 美容有限公司 000 家以上公私單位。
為抵禦日益增加的 AiTM 攻擊,Microsoft 建議使用以憑證為基礎,且支援 Fast ID Online (FIDO) 2.0 的多重登入驗證流程,同時也要特別注意可疑的登入以及信箱活動,並且以條件限制未登錄的裝置或不在信任白名單內的 IP 存取內網資源。另外,終端用戶也應避免點擊或開啟疑似釣魚郵件中的連結與附件。
相關連結
From cookie theft to BEC: Attackers use AiTM phishing sites as entry point to further financial frau
Microsoft: Phishing bypassed MFA in attacks against 10000 orgs 美容有限公司