माइक्रोसॉफ्ट ने उपयोगकर्ताओं को एआईटीएम फ़िशिंग हमलों की एक खतरनाक लहर की चेतावनी दी है जो पहले ही 10,000 से अधिक संगठनों को प्रभावित कर चुके हैं। हमले सितंबर 2021 से हो रहे हैं और Office 365 उपयोगकर्ता लॉगिन क्रेडेंशियल चुरा रहे हैं।
हमलावर Office365 MFA को बायपास करने में सक्षम हैं
एडवर्सरी-इन-द-मिडिल (AiTM) फ़िशिंग वेबसाइटों का उपयोग करके, दुर्भावनापूर्ण पार्टियां इन वेबसाइटों को बायपास करने में सक्षम हैं। बहु-कारक प्रमाणीकरण (एमएफए) एक नकली Office365 प्रमाणीकरण पृष्ठ बनाकर Office365 उपयोगकर्ताओं द्वारा नियोजित सुविधा।
इस प्रक्रिया में, हमलावरों का लक्ष्य लक्ष्य और नकली वेबसाइट के बीच एक प्रॉक्सी सर्वर की तैनाती के माध्यम से पीड़ित की सत्र कुकी प्राप्त करना है।
अनिवार्य रूप से, हमलावर लॉगिन जानकारी चुराने के लिए Office365 साइन-इन सत्रों को रोक रहे हैं। इसे के रूप में जाना जाता है सत्र अपहरण. लेकिन चीजें यहीं नहीं रुकतीं।
एआईटीएम हमलों ने बीईसी हमलों और भुगतान धोखाधड़ी का नेतृत्व किया
एक बार जब हमलावर एआईटीएम साइट के माध्यम से पीड़ित के मेलबॉक्स तक पहुंच प्राप्त कर लेता है, तो वे फॉलो-ऑन बिजनेस ईमेल समझौता (बीईसी) हमलों को अंजाम दे सकते हैं। इन घोटालों में उच्च-स्तरीय कंपनी के कर्मचारियों का प्रतिरूपण शामिल है ताकि कर्मचारियों को ऐसे कार्यों को करने के लिए प्रेरित किया जा सके जो संगठन को नुकसान पहुंचा सकते हैं।
इसके कारण लक्ष्य संगठन के निजी वित्तीय दस्तावेजों तक पहुंच कर भुगतान धोखाधड़ी के कई उदाहरण सामने आए हैं। इस डेटा को पुनः प्राप्त करने से अक्सर हमलावर-नियंत्रित खातों में धन भेजा जाता है।
एक लंबी पोस्ट में माइक्रोसॉफ्ट सुरक्षा ब्लॉग, कंपनी का दावा है कि उसने "एक एआईटीएम फ़िशिंग अभियान के कई पुनरावृत्तियों का पता लगाया है जिसने सितंबर 2021 से 10,000 से अधिक संगठनों को लक्षित करने का प्रयास किया"।
ये हमले एमएफए की कमजोरी का संकेत नहीं हैं
यद्यपि यह हमला बहु-कारक प्रमाणीकरण का लाभ उठा रहा है, यह इस सुरक्षा उपाय की ओर से किसी भी प्रकार की अप्रभावीता का प्रतिनिधित्व नहीं करता है। Microsoft अपने ब्लॉग पोस्ट में बताता है कि ऐसा इसलिए है क्योंकि "AiTM फ़िशिंग सत्र कुकी चुरा लेता है, उपयोगकर्ता की ओर से एक सत्र के लिए हमलावर को प्रमाणित किया जाता है, भले ही साइन-इन विधि बाद वाली हो उपयोग करता है"।
क्योंकि मल्टी-फैक्टर ऑथेंटिकेशन इतना सुरक्षात्मक हो सकता है, साइबर अपराधी इसे दूर करने के तरीके विकसित कर रहे हैं, जो इसके कैविएट के बजाय फीचर की सफलता के बारे में अधिक बोलता है। इसलिए, इस फ़िशिंग अभियान को आपके खातों पर एमएफए को निष्क्रिय करने के कारण के रूप में नहीं देखा जाना चाहिए।
फ़िशिंग एक भयावह आम हमला विधि है
फ़िशिंग अब ऑनलाइन एक भयावह आम हमला विधि है, इस विशेष एआईटीएम अभियान के साथ हजारों अनजान पार्टियों को प्रभावित करने का प्रबंधन। हालांकि यह एमएफए की कमजोरी का संकेत नहीं है, यह दर्शाता है कि साइबर अपराधी अब ऐसे सुरक्षा उपायों पर काबू पाने के नए तरीके विकसित कर रहे हैं।