Атакующие корпоративную почту клиентов Microsoft научились обходить многофакторную аутентификацию

10 тысяч организаций стали жертвами киберзлоумышленников, которые используют фишинговые ссылки для атаки на корпоративные почтовые ящики. Как сообщили в Microsoft, первые атаки были зафиксированы в сентябре 2021 года.

Жертва попадает на фишинговую страницу, которая маскируется под вход в Office 365. На неё ведут HTML-вложения. В итоге злоумышленнику достаются и учетные данные, и cookies сессии. В дальнейшем полученные доступы к почтовым аккаунтам использовались для осуществления BEC-атак, направленных против самой компании.

Роль фишинговых страниц в схеме определяется как «человек посередине». Сессии Transport Layer Security (TLS) вклиниваются в процесс аутентификации. Данные они получают из HTTP-запросов.

Для защиты в Microsoft рекомендовали специальные имплементации MFA с поддержкой Fast ID Online (FIDO). Последние отличаются повышенной устойчивостью к фишингу.