Microsoft ujawnił 13 lipca, że zakrojona na szeroką skalę kampania phishingowa, trwająca od września 2021 roku, wymierzona była w ponad 10 tys. organizacji, przejmując proces uwierzytelniania w usłudze Office 365 nawet na kontach zabezpieczonych uwierzytelnianiem.
Wieloczynnikowym (MFA). „Napastnicy wykorzystali następnie skradzione dane uwierzytelniające i pliki cookie sesji, aby uzyskać dostęp do skrzynek pocztowych dotkniętych użytkowników i przeprowadzić kolejne kampanie typu BEC (business email compromise) przeciwko innym celom” - poinformowały zespoły ds. cyberbezpieczeństwa firmy.
Włamania polegały na tworzeniu stron phishingowych typu adversary-in-the-middle (AitM), w których napastnik umieszcza serwer proxy pomiędzy potencjalną ofiarą a docelową stroną internetową, dzięki czemu odbiorcy wiadomości phishingowej są przekierowywani do podobnych stron docelowych, zaprojektowanych w celu przechwycenia danych uwierzytelniających i informacji MFA.
Strona phishingowa ma dwie różne sesje Transport Layer Security (TLS) - jedną z celem, a drugą z rzeczywistą stroną internetową, do której cel chce się dostać. Te sesje oznaczają, że strona phishingowa praktycznie funkcjonuje jako agent AitM, przechwytując cały proces uwierzytelniania i wydobywając cenne dane z żądań HTTP, takie jak hasła i, co ważniejsze, pliki cookie sesji – wyjaśnia Microsoft.
źródło: microsoftJeśli chcesz otrzymywać wyczerpujące informacje z serwisu MRT Net, zaprenumeruj nasz Newsletter 
Ukryj panel
![[RSS]](images/rss_bigs.png "Kliknij i subskrybuj RSS-a")
