10 тысяч организаций стали жертвами киберзлоумышленников, которые используют фишинговые ссылки для атаки на корпоративные почтовые ящики. Как сообщили в Microsoft, первые атаки были зафиксированы в сентябре 2021 года.
Жертва попадает на фишинговую страницу, которая маскируется под вход в Office 365. На неё ведут HTML-вложения. В итоге злоумышленнику достаются и учетные данные, и cookies сессии. В дальнейшем полученные доступы к почтовым аккаунтам использовались для осуществления BEC-атак, направленных против самой компании.
Роль фишинговых страниц в схеме определяется как «человек посередине». Сессии Transport Layer Security (TLS) вклиниваются в процесс аутентификации. Данные они получают из HTTP-запросов.
Для защиты в Microsoft рекомендовали специальные имплементации MFA с поддержкой Fast ID Online (FIDO). Последние отличаются повышенной устойчивостью к фишингу.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.