微软披露大规模钓鱼活动 启用多因素认证仍可能被劫持

蓝天二号

本周二，微软详细披露了目前仍在进行中的大规模网络钓鱼活动。即便用户账号启用了多因素身份认证保护措施，该活动依然可以劫持用户账户。自去年 9 月以来，这项活动已针对 10000 个组织进行了攻击，通过访问受害者电子邮件账号来诱骗员工向黑客汇款。

多因素身份验证（也称为双因素身份验证、MFA 或 2FA）是帐户安全的黄金标准。除了密码之外，它还要求帐户用户以他们拥有或控制的东西（物理安全密钥、指纹、面部或视网膜扫描）的形式证明他们的身份。MFA 技术的广泛使用增加了攻击难度，但攻击者已经找到了反击的方法。

微软观察到一个活动，该活动在帐户用户和他们尝试登录的工作服务器之间插入了一个攻击者控制的代{过}{滤}理站点。当用户向代{过}{滤}理站点输入密码时，代{过}{滤}理站点将其发送到真实服务器，然后将真实服务器的响应转发回用户。身份验证完成后，攻击者窃取了合法站点发送的会话 cookie，因此用户无需在访问每个新页面时都重新进行身份验证。该活动始于一封带有指向代{过}{滤}理服务器的 HTML 附件的网络钓鱼电子邮件。

在一篇博文中，Microsoft 365 Defender 研究团队的成员和微软威胁情报中心写道：“根据我们的观察，在首次登录网络钓鱼站点的被盗帐户后，攻击者使用被盗的会话 cookie 对 Outlook 在线 (outlook.Office.com) 进行身份验证。在多种情况下，cookie 都有 MFA 声明，这意味着即使组织有 MFA 策略，攻击者也会使用会话 cookie 代表受感染的帐户获得访问权限”。

在 cookie 被盗后的几天里，威胁行为者访问了员工的电子邮件帐户并寻找用于商业电子邮件泄露诈骗的消息，这会欺骗目标将大笔资金汇入他们认为属于同事或业务合作伙伴的帐户。攻击者使用这些电子邮件线程和被黑员工的伪造身份来说服对方付款。

为了防止被黑员工发现漏洞，威胁参与者创建了收件箱规则，自动将特定电子邮件移动到存档文件夹并将其标记为已读。在接下来的几天里，攻击者定期登录以检查新电子邮件。

该博客文章显示了员工很容易陷入此类骗局。大量的电子邮件和工作量通常使我们很难知道消息何时是真实的。使用 MFA 已经表明用户或组织正在实施良好的安全卫生。骗局中为数不多的视觉可疑元素之一是代{过}{滤}理站点登录页面中使用的域名。尽管如此，鉴于大多数组织特定登录页面的不透明性，即使是粗略的域名也可能会让人中招。

yyz219

网络安全防不胜防

fzp070

这种在服务端和客户端之间当中间体的方式(不阻止两端连接，只是截获登录状态信息)，还真是难以防范啊！
或许可以服务端、传输途中、客户端 均加密，这样应该能对中间截获信息，有一点作用。