www.ydisp.cn/oss/202207/13/f70976935d1a2d87455684d5030c2bfb1146c6.jpg"alt="微软:一万多家企业遭受钓鱼攻击"title="微软:超过1000家的公司遭受网络钓鱼攻击"style="visibility:visible;宽度:468px;height:312px;"data-type="inline">微软表示,自2021年9月以来,已有超过10,000家组织遭到网络钓鱼攻击,攻击者将利用获得的受害者邮箱访问权限进行后续的商业电子邮件妥协(BEC)攻击.攻击者利用登录页面欺骗Office在线认证页面,从而绕过多因素认证(MFA)和劫持Office365认证的目的。在这些钓鱼攻击中,潜在受害者收到一封带有HTML附件的钓鱼邮件,当目标点击时被重定向到登陆页面,HTML附件确保目标通过HTML重定向器发送。在窃取目标的凭据和他们的会话cookie后,这些攻击者登录到受害者的电子邮件帐户并使用受害者的访问权限针对其他组织开展商业电子邮件妥协(BRC)活动。Microsoft365DefenderResearch团队和MicrosoftThreatIntel情报中心(MSTIC)对这一系列网络钓鱼活动表示:“这种网络钓鱼活动使用中间人(AiTM)网络钓鱼站点来窃取密码、劫持用户的登录会话并跳过身份验证过程,即使用户有启用的多因素身份验证(MFA)也很难防御。然后,攻击者将使用窃取的凭据和会话cookie来访问受影响用户的邮箱,并对其他目标进行后续的商业电子邮件妥协(BEC)活动。“这场大规模的网络钓鱼活动可以在几个开源网络钓鱼工具包的帮助下实现自动化,包括广泛使用的Evilginx2、Modlishka和Muraena。这次活动中使用的网络钓鱼站点充当反向代理,托管在网络上服务器,目的是将目标的身份验证请求代理到他们试图通过两个单独的传输层安全(TLS)会话登录的合法网站。使用这种策略,攻击者的网络钓鱼页面充当中间人-中间,拦截身份验证过程,然后从被劫持的HTTP请求中提取包括密码和更重要的会话cookie在内的敏感信息。实现鉴权过程,跳过。然后,他们被盗的访问权限被用于针对其他组织的商业电子邮件妥协(BRC)活动。为抵御此类攻击,微软仍然推荐用户使用MFA,并支持基于证书的身份验证和FastIDOnline(FIDO)v2.0。微软还建议用户监控可疑的登录尝试和邮箱活动,并采用条件访问策略来阻止攻击者试图使用从不合规设备或不受信任的IP地址窃取的会话cookie。在微软的相关报告中指出,虽然AiTM钓鱼试图绕过MFA,但需要强调的是,MFA的实施仍然是身份安全的重要支柱。MFA在阻断各种威胁方面还是非常有效的。这就是为什么钓鱼首先出现的原因。来源:https://www.bleepingcomputer.com/news/security/microsoft-phishing-bypassed-mfa-in-attacks-against-10-000-orgs/
