Microsoft telah mengidentifikasi kampanye phishing skala besar yang menargetkan lebih dari 10.000 organisasi sejak September 2021 dalam upaya mencuri uang dalam jumlah besar.
Seperti yang dilaporkan Ars Technica(Buka di jendela baru), kampanye menggunakan teknik adversary-in-the-middle (AiTM) untuk menyisipkan situs proxy antara akun karyawan dan server kerja yang mereka coba sambungkan. Situs yang dikendalikan penyerang diakses melalui lampiran HTML dalam email phishing.
Ketika pengguna tanpa sadar memasukkan kredensial mereka ke situs proxy, itu akan meneruskannya ke server kerja nyata, menyelesaikan otentikasi pengguna untuk Outlook online, lalu mengambil cookie sesi untuk memastikan otentikasi tetap aktif dan mereka dapat mengakses akun email karyawan.
Menurut posting blog keamanan(Buka di jendela baru) oleh Tim Riset Pembela Microsoft 365, setidaknya beberapa organisasi yang ditargetkan menggunakan otentikasi multifaktor (MFA), tetapi jenis MFA yang digunakan tidak cukup baik untuk menghentikan penyerang melewatinya dan mendapatkan akses, “Dalam beberapa kasus, cookie memiliki klaim MFA, yang berarti bahwa meskipun organisasi memiliki kebijakan MFA, penyerang menggunakan cookie sesi untuk mendapatkan akses atas nama akun yang disusupi.”
Setelah akses dibuat, penyerang menggunakan aturan kotak masuk untuk menyembunyikan aktivitas mereka saat mencari sebanyak mungkin rekan kerja dan mitra bisnis untuk dihubungi. Email kemudian dikirim meminta sejumlah besar uang untuk ditransfer ke mereka dengan kedok permintaan pembayaran yang sah dan meyakinkan (dikenal sebagai kampanye kompromi email bisnis (BEC)). Karena karyawan berpikir bahwa mereka beroperasi dalam lingkungan yang aman dan menerima email dari rekanan yang dikenal, penipuan ini sangat efektif, terutama bila dikombinasikan dengan aturan kotak masuk yang diterapkan di sini oleh penyerang, untuk informasi lebih lengkapnya Anda dapat mengunjungi Trestle on Tenth.
Ada beberapa rekomendasi yang dibuat untuk membantu organisasi bertahan dari serangan phishing ini. Microsoft menyarankan untuk mengaktifkan kebijakan akses bersyarat (IP tepercaya, perangkat yang sesuai), pemantauan berkelanjutan untuk upaya masuk yang mencurigakan dan aktivitas kotak surat yang tidak biasa, dan menggunakan solusi anti-phishing lanjutan untuk memindai email dan situs web yang dikunjungi.
Seperti yang ditunjukkan dengan tepat oleh Ars Technica, tidak semua solusi MFA sama. Organisasi yang memilih solusi MFA yang sesuai dengan FIDO yang mengandalkan kunci keamanan fisik khusus atau ditautkan ke perangkat Android atau iOS, tidak dapat di-phishing dengan cara ini.