黑客先是寄送了釣魚郵件,將用戶導至AiTM釣魚頁面,進而竊取用戶的憑證與期間Cookie,隨之黑客即利用所取得的憑證及登陸期間權限,以受害者的郵件帳號展開商業電子郵件(BEC)詐騙。
微軟描述了AiTM釣魚活動的細節,指出黑客在用戶與所要造訪的目標網站之間部署了壹個代理伺服器(釣魚網站),當黑客以釣魚郵件誘導用戶造訪目標網站時,代理伺服器便充當中間的橋梁,使得該代理伺服器得以取得用戶所輸入的密碼,以及用戶與目標網站之間建立的登陸期間Cookie。
除了網址之外,該釣魚網站幾乎與目標網站壹模壹樣,而讓用戶難以察覺。微軟強調,此攻擊無關用戶所采用的登陸機制,亦非MFA機制的安全漏洞,僅僅是因為黑客挾持了用戶的登陸期間,而能以用戶的身分運作。
此外,這些釣魚活動顯然是鎖定Office 365用戶,因為黑客所打造的冒牌網站就是偽裝成Office的線上認證頁面。
根據微軟的分析,最快的攻擊行動在盜走憑證及期間Cookie的5分鐘之後,便展開了BEC詐騙。
微軟建議組織可啟用條件式存取政策,部署更先進的防釣魚解決方案,或是持續偵測可疑與異常行為,或使用Microsoft 365 Defender來對抗AiTM釣魚攻擊。
本文源自iDoNews