كشف باحثو Microsoft عن حملة تصيد احتيالي ضخمة يمكنها سرقة بيانات الاعتماد حتى لو كان لدى المستخدم مصادقة متعددة العوامل (MFA) ممكنة وحاول حتى الآن اختراق أكثر من 10000 مؤسسة.
تعتمد الحملة ، التي كانت نشطة منذ سبتمبر 2021 ، على استخدام مواقع التصيد الاحتيالي للخصم في الوسط (AiTM) في الهجمات الأولية لاختطاف ملفات تعريف الارتباط الخاصة بالجلسة وسرقة بيانات الاعتماد. من هناك ، يمكن للمهاجمين الوصول إلى صناديق بريد المستخدمين الخاصة بالضحايا لشن المزيد من الهجمات ضد أهداف أخرى ، كما كتب فريق أبحاث Microsoft 365 Defender من مركز Microsoft Threat Intelligence Center (MTIC) في منشور مدونة نشر يوم الثلاثاء.
في هجمات AiTM ، يقوم ممثل التهديد بنشر خادم وكيل بين المستخدم المستهدف وموقع الويب الذي يرغب المستخدم في زيارته – أي الموقع الذي يرغب المهاجم في انتحال شخصيته ، كما أوضح الباحثون.
وكتبوا: "مثل هذا الإعداد يسمح للمهاجم بسرقة واعتراض كلمة مرور الهدف وملف تعريف ارتباط الجلسة الذي يثبت جلسته المستمرة والمصادق عليها مع الموقع".
وأضافوا أنه من المهم الإشارة إلى أن هذا النوع من الهجمات لا يشير إلى وجود ثغرة أمنية في نوع MFA الذي يستخدمه نظام البريد الإلكتروني للشركات. وقال الباحثون إن التصيد الاحتيالي AiTM يسرق ملف تعريف ارتباط الجلسة ، لذلك يتم مصادقة المهاجم على جلسة نيابة عن المستخدم بغض النظر عن طريقة تسجيل الدخول التي يستخدمها الأخير.
في الواقع ، أصبح المهاجمون حكماء في استخدام المؤسسات المتزايد ل MFA لتأمين حسابات المستخدمين بشكل أفضل وإنشاء هجمات تصيد احتيالي أكثر تطورا مثل هذه التي يمكن أن تتجاوزها ، كما أشار أحد المتخصصين في مجال الأمن.
"في حين أن MFA هي بالتأكيد قيمة ويجب استخدامها عندما يكون ذلك ممكنا ، من خلال التقاط كلمة المرور وملف تعريف ارتباط الجلسة – ولأن ملف تعريف ارتباط الجلسة يظهر أن MFA قد تم استخدامه بالفعل لتسجيل الدخول – يمكن للمهاجمين في كثير من الأحيان التحايل على الحاجة إلى MFA عندما يقومون بتسجيل الدخول إلى الحساب مرة أخرى في وقت لاحق باستخدام كلمة المرور المسروقة" ، لاحظ إريك كرون ، مدافع الوعي الأمني في شركة التدريب على الوعي الأمني KnowBe4 ، في رسالة بريد إلكتروني إلى Threatpost.
AiTM التصيد الاحتيالي، غير معبأة
في ملاحظتهم للحملة ، قام باحثو Microsoft بالغوص بشكل أعمق في كيفية عمل هذه الأنواع من الهجمات وكيف يمكن استخدامها لشن هجمات اختراق البريد الإلكتروني للأعمال الثانوية (BEC) بمجرد الوصول الأولي إلى حساب شخص ما ، على حد قولهم.
وأوضح الباحثون أن هجمات التصيد الاحتيالي AiTM تعتمد على الجلسة التي تنفذها كل خدمة ويب حديثة مع مستخدم بعد المصادقة الناجحة بحيث لا يتعين مصادقة المستخدم في كل صفحة جديدة يزورها.
"يتم تنفيذ وظيفة الجلسة هذه من خلال ملف تعريف ارتباط الجلسة الذي توفره خدمة المصادقة بعد المصادقة الأولية" ، كتبوا. "ملف تعريف ارتباط الجلسة هو دليل لخادم الويب على أن المستخدم قد تمت مصادقته ولديه جلسة مستمرة على موقع الويب."
في التصيد الاحتيالي AiTM ، يحاول المهاجم سرقة ملف تعريف ارتباط جلسة المستخدم المستهدف حتى يتمكن من تخطي عملية المصادقة بأكملها والتصرف كما لو كان المستخدم الشرعي المصادق عليه ، كما قال الباحثون.
"للقيام بذلك ، يقوم المهاجم بنشر خادم ويب يقوم بتوصيل حزم HTTP من المستخدم الذي يزور موقع التصيد الاحتيالي إلى الخادم المستهدف الذي يرغب المهاجم في انتحال شخصيته والعكس صحيح" ، كتبوا. "بهذه الطريقة ، يكون موقع التصيد الاحتيالي مطابقا بصريا لموقع الويب الأصلي (حيث يتم توصيل كل HTTP من وإلى موقع الويب الأصلي)."
وأشار الباحثون إلى أن هذا الهجوم مناسب بشكل خاص للجهات الفاعلة المهددة لأنه يستبعد الحاجة إليها لصياغة مواقع التصيد الاحتيالي الخاصة بها مثل تلك المستخدمة في حملات التصيد الاحتيالي التقليدية.
متجه هجوم محدد
في حملة التصيد الاحتيالي التي لاحظها باحثو Microsoft ، يبدأ المهاجمون الاتصال بالضحايا المحتملين عن طريق إرسال رسائل بريد إلكتروني تحتوي على مرفق ملف HTML إلى مستلمين متعددين في مؤسسات مختلفة. تدعي الرسائل أن المستلمين لديهم رسالة بريد صوتي ويحتاجون إلى النقر فوق المرفق للوصول إليها أو سيتم حذفها في غضون 24 ساعة.
إذا نقر مستخدم على الرابط، فستتم إعادة توجيهه إلى موقع يخبره بأنه ستتم إعادة توجيهه مرة أخرى إلى صندوق البريد الخاص به مع الصوت في غضون ساعة. وفي الوقت نفسه ، يطلب منهم تسجيل الدخول باستخدام بيانات الاعتماد الخاصة بهم.
ومع ذلك ، في هذه المرحلة ، يقوم الهجوم بشيء فريد باستخدام ترميز ذكي عن طريق ملء الصفحة المقصودة للتصيد الاحتيالي تلقائيا بعنوان البريد الإلكتروني للمستخدم ، "وبالتالي تعزيز إغراء الهندسة الاجتماعية" ، كما لاحظ الباحثون.
إذا أدخل هدف بيانات اعتماده وحصل على مصادقة، إعادة توجيهه إلى صفحة Microsoft office.com الشرعية. ومع ذلك ، في الخلفية ، يعترض المهاجم بيانات الاعتماد ويحصل على مصادقة نيابة عن المستخدم ، مما يوفر حرية التصرف في أداء أنشطة المتابعة ، كما قال الباحثون.
في سلسلة البريد الإلكتروني للتصيد الاحتيالي التي لاحظها الباحثون ، استخدم ممثل التهديد المصادقة لارتكاب احتيال في الدفع في هجمات ثانوية من داخل المنظمة ، كما قال الباحثون.
متابعة BEC والاحتيال في الدفع
وقال الباحثون إن المهاجمين استغرقوا أقل من خمس دقائق بعد اختطاف الجلسات وسرقة بيانات الاعتماد لبدء عملية إجراء الاحتيال في الدفع من خلال المصادقة على Outlook للوصول إلى رسائل البريد الإلكتروني المتعلقة بالتمويل ومرفقات الملفات. في اليوم التالي ، قاموا بالوصول إلى رسائل البريد الإلكتروني والملفات هذه كل بضع ساعات للبحث عن فرص لارتكاب الاحتيال.
وأضاف الباحثون أن ممثل التهديد حذف أيضا من مجلد Inbox الخاص بالحساب المخترق البريد الإلكتروني الأصلي للتصيد الاحتيالي الذي أرسلوه لإخفاء آثار وصولهم الأولي.
"تشير هذه الأنشطة إلى أن المهاجم حاول ارتكاب احتيال في الدفع يدويا" ، كما كتبوا.
وأضاف الباحثون أن المهاجمين استخدموا أيضا Outlook Web Access (OWA) على متصفح Chrome لارتكاب احتيال في الدفع أثناء استخدام ملف تعريف ارتباط الجلسة المسروق للحساب المخترق.
حدث مجاني عند الطلب: انضم إلى Zane Bond من Keeper Security في مائدة مستديرة حول Threatpost وتعلم كيفية الوصول بأمان إلى أجهزتك من أي مكان ومشاركة المستندات الحساسة من مكتبك المنزلي. شاهد هنا.