Microsoft обяви, че е разкрила мащабна фишинг кампания, която вече е атакувала над 10 хил. организации по целия свят. Тя е започната през септември 2021 г., като продължава активно и в момента, съобщава Ars technica.

Кампанията е доста добре разработена, като дори успява да превземе профили, които са защитени с мултифакторна автентикация. Това са допълнителните стъпки за сигурност, които вече набират голяма популярност сред много услуги. Такива например са изпращането на допълнителен код по SMS или през приложение, както и използването на отделни устройства или USB ключове за идентификация.

Нивото на защита зависи от метода на идентификация и може да варира значително. Въпреки това хакерската кампания изглежда успява да се справи с повечето вариации.

Внимателно позициониране

Microsoft е проследила и анализирала действието на кампанията. Основната ѝ цел е да позиционира контролиран от хакерите сайт между профила на потребителя и сървъра, към който се свързва. Най-често това се прави с точно копие на истинския сайт и потребителят въвежда името и паролата си в него. Фалшивият сайт след това препраща информацията и към сървъра, като връща на потребителя и реалния отговор на сървъра.

Така сайтът се превръща в посредник на комуникацията между потребителя и сървъра и копира всички данни между тях. Това включва и „бисквитките“ за идентификация, за да не е налага потребителят всеки път да се идентифицира за всяка нова страница. В бисквитките се съдържа и информация за успешна мултифакторна автентикация (MFA), така че тя се заобикаля дори и да е активирана от организацията.

Класически подход с фалшив сайт

Анализът на Microsoft открива, че най-често кампанията започва с изпращане на имейли до служителите на организация, в които се съдържа линк към подготвения фалшив сайт. Самият той използва откраднати бисквитки от онлайн версията на Outlook.

След това хакерът прекарва няколко дни във внимателно проучване на комуникацията на жертвите си. Търсят се писма и данни, които да се използват за измами. Най-често хакерът се представя от името на потребителя пред клиенти на организацията и ги уведомява за промяна на банковите сметки и налични плащания, които трябва да бъдат извършени.

Понякога тази комуникация продължава с дни. За да бъде скрита от реалия потребител, хакерите създават автоматизирани правила и имейлите от съответните получатели се пренасочват към архивирана папка и се маркират като прочетени. Хакерът след това влиза периодично, за да провери дали има отговори. В някои случаи така се извършват няколко паралелни измами с различни мишени.

Измамите се реализират много лесно, като най-често линкът към фалшивата страница е просто копие на логин сайта на Microsoft. Единствената разлика е в домейна, който е видим в полето за адреси на браузъра. Той може да се разминава с няколко букви или да използва съкращения, които обаче вее са популярни заради късите линкове. Така потребителят няма да възприеме, че например mcsft е фалшив сайт, а може да реши, че просто е една от многото служебни страници на интернет гиганта.

Microsoft е добавила още защити, които да анализират за съмнителна дейност в Office 365 профилите. Въпреки това самите потребители също трябва да са внимателни и да преглеждат внимателно сайтовете, които посещават.