多因子驗證(Multi-factor authentication, MFA)是組織保護自己免受網路釣魚和憑證盜竊攻擊的關鍵方式之一。 中間人攻擊(adversary-in-the-middle,AiTM)網路釣魚攻擊會在目標和受害者訪問的網站之間部署代理伺服器,該網站將會被攻擊者模仿。 MFA本身並沒有損壞,但由於瀏覽器上的對話cookie已被盜取,攻擊者仍然可以獲得身份驗證。
每個現代網頁伺服器在身份驗證成功後都會詢問使用者是否同意暫存數據,因為這樣使用者就不必在訪問的每個新頁面上進行身份驗證。此暫存功能是透過使用者在初始身份驗證後提供的對話cookie實現的。在AiTM網路釣魚中,攻擊者試圖獲取目標使用者的對話cookie,以便他們可以跳過整個身份驗證過程,來進行中間人攻擊
在微軟強調的攻擊中,網路釣魚網站假扮了Azure Active Directory(Azure AD)登入頁面。一旦受害者輸入其憑證並進行身份驗證,他們就會導向合法頁面。 但在此過程中,攻擊者會攔截憑證,並代表使用者進行身份驗證。攻擊者的網頁伺服器在使用者訪問釣魚網站時竊取使用者的HTTP封包,並將其傳送到攻擊者冒充的目標伺服器。
網路釣魚頁面有兩個不同的傳輸層安全對話:第一個對話是與目標個人,另一個對話則是與目標所訪問的網站。這些對話意味著網路釣魚頁面實際上是一個AiTM代理,它攔截整個身份驗證過程,並從HTTP中提取密碼等有價值的資料,更重要的是, 一旦攻擊者獲得對話cookie,即使目標的MFA已啟用,他們依然可以將其導入瀏覽器以跳過身份驗證過程。
攻擊者會傳送包含HTML檔案附件的電子郵件,並引誘使用者開啟語音訊息。當開啟附加的HTML檔案後,該檔案會被載入使用者的瀏覽器,並顯示一個頁面,通知他們正在下載語音訊息。攻擊者在檔案中將下載進度條寫死,使其看起來有一個正在下載,事實上並沒有下載真正的檔案。
雖然受害者很難發現AiTM攻擊,但微軟表示,客戶應在Azure AD中配置有條件的存取管理,並監控傳入的電子郵件和網站的網路釣魚威脅,以防止這些攻擊。
相關連結:
Liam Tung(2022). Microsoft warning: This phishing attack can skip your defenses and has hit 10,000 firms already. ZDNet.
檢自:
https://www.zdnet.com/article/microsoft-warning-this-phishing-attack-can-skip-your-defenses-and-has-hit-10000-firms-already/ (Jul. 25, 2022)
