We wtorek Microsoft szczegółowo opisał trwającą kampanię phishingową na dużą skalę, która może przejmować konta użytkowników, gdy są one chronione za pomocą środków uwierzytelniania wieloskładnikowego zaprojektowanych w celu zapobiegania takim przejęciom. Aktorzy stojący za tą operacją, którzy od września zaatakowali 10 000 organizacji, wykorzystali swój tajny dostęp do kont e-mail ofiar, aby nakłonić pracowników do przesłania hakerom pieniędzy.
Uwierzytelnianie wieloskładnikowe — znane również jako uwierzytelnianie dwuskładnikowe, MFA lub 2FA — to złoty standard bezpieczeństwa konta. Wymaga od użytkownika konta udowodnienia swojej tożsamości w postaci czegoś, co posiada lub kontroluje (fizyczny klucz bezpieczeństwa, odcisk palca lub skan twarzy lub siatkówki) oprócz czegoś, co zna (hasło). Rosnące wykorzystanie MFA utrudniało kampanie przejmowania kont, agresorzy znaleźli sposoby na kontratak.
Przeciwnik w środku
Firma Microsoft zaobserwowała kampanię, w wyniku której między użytkownikami kont a serwerem roboczym, do którego próbowali się zalogować, została umieszczona witryna proxy kontrolowana przez osobę atakującą. Kiedy użytkownik wprowadził hasło do witryny proxy, strona proxy wysłała je do prawdziwego serwera, a następnie przekazała odpowiedź prawdziwego serwera z powrotem do użytkownika. Po zakończeniu uwierzytelniania cyberprzestępca ukradł sesyjny plik cookie wysłany przez legalną witrynę, dzięki czemu użytkownik nie musi być ponownie uwierzytelniany przy każdej nowej odwiedzanej stronie. Kampania rozpoczęła się od e-maila phishingowego z załącznikiem HTML prowadzącym do serwera proxy.
„Z naszych obserwacji wynika, że po pierwszym zalogowaniu się przejętego konta do witryny phishingowej osoba atakująca użyła skradzionego pliku cookie sesji do uwierzytelnienia w programie Outlook online (outlook.office.com)” — napisali członkowie zespołu Microsoft 365 Defender Research Team i Microsoft Threat Intelligence Center.post na blogu. „W wielu przypadkach pliki cookie miały roszczenie MFA, co oznacza, że nawet jeśli organizacja miała zasady MFA, atakujący użył pliku cookie sesji, aby uzyskać dostęp w imieniu zaatakowanego konta”.
Kilka dni po kradzieży plików cookie cyberprzestępcy uzyskiwali dostęp do kont e-mail pracowników i szukali wiadomości do wykorzystania w oszustwach związanych z kompromitacją poczty biznesowej, które nakłaniały ofiary do przesyłania dużych sum pieniędzy na konta, które ich zdaniem należały do współpracowników lub partnerów biznesowych. Atakujący wykorzystali te wątki e-mail i sfałszowaną tożsamość zaatakowanego pracownika, aby przekonać drugą stronę do dokonania płatności.
Aby uniemożliwić zhakowanemu pracownikowi wykrycie zagrożenia, cyberprzestępcy utworzyli reguły skrzynki odbiorczej, które automatycznie przenosiły określone wiadomości e-mail do folderu archiwum i oznaczały je jako przeczytane. W ciągu następnych kilku dni cyberprzestępca logował się okresowo, aby sprawdzić nowe wiadomości e-mail.
„Pewnego razu atakujący przeprowadził wiele prób oszustwa jednocześnie z tej samej zainfekowanej skrzynki pocztowej” – napisali autorzy bloga. „Za każdym razem, gdy atakujący znalazł nowy cel oszustwa, aktualizował utworzoną przez siebie regułę skrzynki odbiorczej, aby uwzględnić domeny organizacji tych nowych celów”.
Tak łatwo wpaść w oszustwa
Wpis na blogu pokazuje, jak łatwo pracownicy mogą dać się nabrać na takie oszustwa. Sama liczba wiadomości e-mail i obciążenie pracą często sprawiają, że trudno jest stwierdzić, czy wiadomość jest autentyczna. Użycie MFA już sygnalizuje, że użytkownik lub organizacja przestrzega zasad higieny bezpieczeństwa. Jednym z nielicznych wizualnie podejrzanych elementów oszustwa jest nazwa domeny używana na stronie docelowej witryny proxy. Mimo to, biorąc pod uwagę nieprzejrzystość większości stron logowania specyficznych dla organizacji, nawet pobieżna nazwa domeny może nie być martwym łupem.
Nic w koncie Microsoftu nie powinno sugerować, że wdrożenie MFA nie jest jednym z najskuteczniejszych sposobów zapobiegania przejęciom kont. To powiedziawszy, nie wszystkie MFA są równe. Jednorazowe kody uwierzytelniające, nawet wysyłane SMS-em, są znacznie lepsze niż nic, ale nadal można je wyłudzić lub przechwycić dzięki bardziej egzotycznym nadużyciomprotokół SS7służy do wysyłania wiadomości tekstowych.
Thenajskuteczniejsze formy MFAdostępne są takie, które są zgodne ze standardami ustalonymi przez branżęSojusz FIDO. Tego typu usługi MFA używają fizycznego klucza bezpieczeństwa, który może pochodzić jako klucz sprzętowy od firm takich jak Yubico lub Feitian, a nawet urządzenia z systemem Android lub iOS. Uwierzytelnienie może również pochodzić z odcisku palca lub skanu siatkówki, z których żaden nigdy nie opuszcza urządzenia użytkownika końcowego, aby zapobiec kradzieży danych biometrycznych. Cechą wspólną wszystkich MFA kompatybilnych z FIDO jest brak możliwości phishingu i wykorzystanie systemów zaplecza odp*rnych na tego typu trwające kampanie.
