微軟揭露鎖定Office 365用戶且可繞過驗證的釣魚攻擊

DoNews 7月13日消息，微軟透露，從2021年9月迄今，至少1萬個組織成為中間人（Adversary-in-The-Middle，AiTM）釣魚攻擊的目標，且黑客主要鎖定Office 365用戶。由于黑客不僅竊取了用戶的密碼，也挾持了用戶的登陸期間，因而也能繞過兩步驗證（Multi-Factor Authentication，MFA）機制。

黑客先是寄送了釣魚郵件，將用戶導至AiTM釣魚頁面，進而竊取用戶的憑證與期間Cookie，隨之黑客即利用所取得的憑證及登陸期間權限，以受害者的郵件帳號展開商業電子郵件（BEC）詐騙。

微軟描述了AiTM釣魚活動的細節，指出黑客在用戶與所要造訪的目標網站之間部署了一個代理伺服器（釣魚網站），當黑客以釣魚郵件誘導用戶造訪目標網站時，代理伺服器便充當中間的橋梁，使得該代理伺服器得以取得用戶所輸入的密碼，以及用戶與目標網站之間建立的登陸期間Cookie。

除了網址之外，該釣魚網站幾乎與目標網站一模一樣，而讓用戶難以察覺。微軟強調，此攻擊無關用戶所采用的登陸機制，亦非MFA機制的安全漏洞，僅僅是因為黑客挾持了用戶的登陸期間，而能以用戶的身分運作。

此外，這些釣魚活動顯然是鎖定Office 365用戶，因為黑客所打造的冒牌網站就是偽裝成Office的線上認證頁面。

根據微軟的分析，最快的攻擊行動在盜走憑證及期間Cookie的5分鐘之后，便展開了BEC詐騙。

微軟建議組織可啟用條件式存取政策，部署更先進的防釣魚解決方案，或是持續偵測可疑與異常行為，或使用Microsoft 365 Defender來對抗AiTM釣魚攻擊。