ГИС

Атакующие корпоративную почту клиентов Microsoft научились обходить многофакторную аутентификацию

13.07.2022
Атакующие корпоративную почту клиентов Microsoft научились обходить многофакторную аутентификацию

10 тысяч организаций стали жертвами киберзлоумышленников, которые используют фишинговые ссылки для атаки на корпоративные почтовые ящики. Как сообщили в Microsoft, первые атаки были зафиксированы в сентябре 2021 года.

Жертва попадает на фишинговую страницу, которая маскируется под вход в Office 365. На неё ведут HTML-вложения. В итоге злоумышленнику достаются и учетные данные, и cookies сессии. В дальнейшем полученные доступы к почтовым аккаунтам использовались для осуществления BEC-атак, направленных против самой компании.

Роль фишинговых страниц в схеме определяется как «человек посередине». Сессии Transport Layer Security (TLS) вклиниваются в процесс аутентификации. Данные они получают из HTTP-запросов.

Для защиты в Microsoft рекомендовали специальные имплементации MFA с поддержкой Fast ID Online (FIDO). Последние отличаются повышенной устойчивостью к фишингу.