Защищенную MFA почту Microsoft научились взламывать хакеры

Microsoft предупредила, что хакеры могут захватить учетные записи электронной почты Outlook, даже если они защищены многофакторной аутентификацией.

Защищенную MFA почту Microsoft научились взламывать хакеры. Фото: СС0

Команды компании по кибербезопасности из Threat Intelligence Center и исследовательская группа Microsoft 365 Defender обнаружили новую крупномасштабную фишинговую кампанию, которая затронула более чем 10 000 предприятий в прошлом году.

Скомпрометированные учетные записи электронной почты позже используются для атак компрометации деловой электронной почты (BEC), в ходе которых деловые партнеры, клиенты и клиенты жертвы в конечном итоге становятся жертвами мошенничества с деньгами.

Жертва получает фишинговое письмо со ссылкой для входа в свою учетную запись Outlook. Эта ссылка ведет на прокси-сайт, который, казалось бы, был идентичен законному. Жертва попытается войти в систему, и прокси-сайт разрешит это, отправив все данные.

Однако, как только жертва завершит процесс аутентификации, злоумышленник крадет файл cookie сеанса. Поскольку пользователю не нужно проходить повторную аутентификацию при каждом посещении новой страницы, это также дает субъекту угрозы полный доступ.

Из сообщения Microsoft:

«По нашим наблюдениям, после того, как пользователь со скомпрометированной учетной записью впервые входит на фишинговый сайт, злоумышленник использует украденный файл cookie сеанса для аутентификации в Outlook Online. Во многих случаях файлы cookie имели MFA, но это не помогло защитить данные».

Получив доступ к учетной записи электронной почты, злоумышленники приступают к нацеливанию на контакты в папке «Входящие», используя украденные идентификационные данные , чтобы попытаться обманом заставить отправлять платежи различных размеров.

Чтобы владелец взломанной почты не узнал о том, что учетные записи используются злоумышленниками, злоумышленники устанавливали правила для папки «Входящие» на конечной точке , помечая свои электронные письма как прочитанные по умолчанию и немедленно перемещая их в архив. Сообщалось, что злоумышленники проверяли почтовый ящик каждые пару дней и включали в список атак новые цели.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме