Chiến dịch lừa đảo Office 365 nhắm vào hơn 10.000 tổ chức

Các nhà nghiên cứu bảo mật của Microsoft đã phát hiện ra một chiến dịch lừa đảo phishing quy mô lớn sử dụng kỹ thuật ủy quyền HTTPS để chiếm đoạt tài khoản Office 365. Cuộc tấn công có khả năng vượt qua xác thực đa yếu tố (MFA) và đã nhắm mục tiêu vào hơn 10.000 tổ chức kể từ tháng 9/2021.

Mục tiêu của chiến dịch dường như là xâm nhập email doanh nghiệp (BEC), một kiểu tấn công trong đó tài khoản email của nhân viên được sử dụng để lừa các nhân viên khác trong cùng tổ chức hoặc đối tác kinh doanh bên ngoài để thực hiện chuyển tiền gian lận. Theo Trung tâm Khiếu nại Tội phạm Internet của FBI (IC3), các cuộc tấn công BEC đã dẫn đến thiệt hại hơn 43 tỷ USD từ tháng 6/2016 đến tháng 12/2021.

Các cuộc tấn công do Microsoft quan sát bắt đầu với việc nạn nhân nhận được email giả mạo có chứa các tệp đính kèm HTML độc hại. Một số email hướng dẫn người dùng mở tệp đính kèm, chuyển hướng họ đến các trang mô phỏng tiến trình tải xuống, nhưng sau đó lại chuyển hướng họ đến trang đăng nhập Office 365 giả mạo.

Thông qua những trang web lừa đảo AiTM (Adversary in the middle), các tin tặc có thể vượt qua tính năng xác thực nhiều lớp (MFA) của người dùng Office 365 bằng cách tạo ra trang xác thực Office 365 giả mạo.

Trong quy trình này, kẻ tấn công lấy đi Session Cookie (tệp chứa mã định danh mà máy chủ trang web gửi đến trình duyệt để sử dụng tạm thời trong một khung thời gian giới hạn) của nạn nhân thông qua triển khai máy chủ Proxy (máy chủ có nhiệm vụ chuyển tiếp thông tin và kiểm soát, tạo sự an toàn cho việc truy cập Internet của các máy khách) ở giữa mục tiêu và trang web bị giả mạo.

Về cơ bản, các tin tặc có thể can thiệp vào các phiên đăng nhập Office 365 để đánh cắp thông tin đăng nhập. Kỹ thuật còn được gọi là Session Hijacking. Tuy nhiên, mọi chuyện không dừng lại ở đó.

Một khi kẻ tấn công tiếp cận được hộp thư của nạn nhân thông qua trang web AiTM, hắn có thể tiến hành các cuộc tấn công xâm phạm email doanh nghiệp (BEC). Kẻ tấn công có thể mạo danh quản lý cấp cao để ra lệnh cho nhân viên thực hiện một số hành động gây hại cho tổ chức, dẫn đến nhiều vụ gian lận thanh toán.

Microsoft nhấn mạnh, thủ đoạn lừa đảo AiTM cho phép kẻ tấn công thay mặt người dùng để xác thực trong phiên đăng nhập, bất kể người dùng sử dụng hình thức đăng nhập nào.

Microsoft khuyến nghị bật các chính sách truy cập có điều kiện, thiết lập chính sách giám sát các quy tắc hộp thư đến có thể có mục đích đáng ngờ hoặc để kích hoạt cảnh báo về lượng sự kiện truy cập thư bất thường bằng địa chỉ IP hoặc thiết bị không đáng tin cậy.