Microsoft предупредила, что хакеры могут захватить учетные записи электронной почты Outlook, даже если они защищены многофакторной аутентификацией.
Группы корпоративной кибербезопасности в Threat Intelligence Center и исследовательская группа Microsoft 365 Defender обнаружили (opens in a new tab) новую крупномасштабную фишинговую кампанию, нацеленную на более чем 10 000 компаний за последний год.
Скомпрометированные учетные записи электронной почты затем используются для компрометации деловой электронной почты (BEC), в ходе которых деловые партнеры, клиенты и клиенты жертвы в конечном итоге лишаются своих денег.
Украсть файлы cookie сеанса
Жертва получит фишинговое письмо со ссылкой для входа в свою учетную запись Outlook. Эта ссылка, однако, привела бы их на прокси-сайт, который, по-видимому, идентичен законному сайту. Жертва попытается подключиться, и прокси-сайт разрешит это, отправив все данные.
Однако, как только жертва завершит процесс аутентификации, злоумышленник украдет файл cookie сеанса. Поскольку пользователю не нужно повторно аутентифицироваться при каждом посещении новой страницы, это также дает злоумышленнику полный доступ.
«По нашим наблюдениям, после того, как скомпрометированная учетная запись впервые зашла на фишинговый сайт, злоумышленник использовал украденный сеансовый файл cookie для аутентификации в Outlook Online (outlook.office.com)», — говорится в сообщении в блоге Microsoft. «В нескольких случаях в файлах cookie содержалось утверждение MFA (открывается в новой вкладке), что означает, что, несмотря на то, что в организации была политика MFA, злоумышленник использовал файл cookie сеанса, чтобы получить доступ к имени учетной записи.
Получив в свои руки учетную запись электронной почты, злоумышленники продолжали нацеливаться на контакты в папке «Входящие», используя украденные удостоверения личности, чтобы попытаться обманом заставить их отправлять платежи разных размеров.
Чтобы первоначальная жертва не знала, что ее учетные записи электронной почты используются злоумышленниками, злоумышленники настраивают правила для папки «Входящие» на конечной точке, помечая свои электронные письма как прочитанные по умолчанию и немедленно перемещая их в архив. Сообщается, что злоумышленники проверяли почтовый ящик каждые два дня.
«Однажды злоумышленник предпринял несколько попыток мошенничества одновременно с одного и того же взломанного почтового ящика», — поясняет Microsoft. «Каждый раз, когда злоумышленник находил новую цель мошенничества, он обновлял созданное им правило для папки «Входящие», чтобы включить домены организаций этих новых целей».