Nebezpečná phishingová kampaň ohrožuje i uživatele Outlooku využívající MFA

Zpět na blog

Hackeři jsou schopni se zmocnit e-mailových účtů aplikace Outlook, i když jsou chráněny vícefaktorovým ověřováním, varoval Microsoft.

Týmy společnosti pro kybernetickou bezpečnost ze střediska Threat Intelligence Center a výzkumného týmu Microsoft 365 Defender odhalily novou rozsáhlou phishingovou kampaň, která se v uplynulém roce zaměřila na více než 10 000 firem.

Kompromitované e-mailové účty jsou později využívány k útokům typu BEC (business e-mail compromitation), při nichž mohou být obchodní partneři, klienti a zákazníci oběti nakonec podvedeni a okradeni.

Jak kampaň probíhá?

Oběť obdrží phishingový e-mail s odkazem na přihlášení do svého účtu aplikace Outlook. Tento odkaz ji však zavede na proxy stránku, zdánlivě totožnou s tou legitimní. Oběť se pokusí přihlásit a proxy stránka to povolí a odešle všechny údaje.

Jakmile oběť dokončí proces ověřování, útočník získá soubor cookie relace. Protože uživatel nemusí být při každé nové návštěvě stránky znovu ověřován, získá tím aktér hrozby také plný přístup.

„Z našeho pozorování vyplývá, že poté, co se napadený účet poprvé přihlásil na phishingovou stránku, použil útočník ukradený soubor cookie relace k ověření do aplikace Outlook online (outlook.office.com),“ uvádí se v příspěvku na blogu společnosti Microsoft. „V několika případech měly soubory cookie nárok na MFA, což znamená, že i když organizace měla politiku MFA, útočník použil soubor cookie relace k získání přístupu jménem napadeného účtu.“

Poté, co se útočníci dostali k e-mailovému účtu, pokračovali v cílení na kontakty ve schránce a pomocí ukradených identit se je snažili vylákat k odeslání plateb v různé výši. Aby původní oběť zůstala v nevědomosti o tom, že její e-mailový účet je zneužíván, útočníci na koncovém bodě nastavili pravidla pro doručenou poštu, která ve výchozím nastavení označila její e-maily jako přečtené a okamžitě je přesunula do archivu. Útočníci prý kontrolovali doručenou poštu každých pár dní.

„V jednom případě útočník provedl několik pokusů o podvod současně ze stejné napadené schránky,“ uvedl Microsoft. „Pokaždé, když útočník našel nový cíl podvodu, aktualizoval vytvořené pravidlo Doručená pošta tak, aby zahrnovalo domény organizací těchto nových cílů.“

Tato phishingová kampaň je dalším příkladem toho, jak se hrozby neustále vyvíjejí v reakci na bezpečnostní opatření a zásady, které organizace zavádějí na obranu proti potenciálním útokům. A protože v loňském roce při mnoha nejškodlivějších incidentech sehrál phishing zcela zásadní roli, dá se očekávat, že podobné pokusy budou rozsáhlejší a sofistikovanější.

Přestože se tento konkrétní phishing pokouší obejít MFA, je důležité zdůraznit, že implementace MFA zůstává základním pilířem zabezpečení identit. Systém MFA je stále velmi účinný při zastavování nejrůznějších hrozeb; jeho účinnost je důvodem, proč se tento phishing vůbec objevil. Organizace tak mohou svou implementaci MFA učinit „odolnější“ pomocí řešení, která podporují Fast ID Online (FIDO) v2.0 a ověřování založené na certifikátech.

Zdroj: Microsoft

21. 7. 2022