Microsoft revela un ataque de phishing masivo dirigido a usuarios de Office 365, sin pasar por la autenticación de dos pasos

DoNews (13 de julio de 2012) Microsoft ha revelado que al menos 10.000 organizaciones han sido blanco de ataques de phishing de Adversarial in the Middle (AiTM) desde septiembre de 2021, y los piratas informáticos se han dirigido principalmente a usuarios de Office 365. Los piratas informáticos también pueden eludir los mecanismos de autenticación multifactor (MFA) porque no solo roban las contraseñas de los usuarios, sino que también mantienen como rehén su tiempo de inicio de sesión.

Los piratas informáticos primero envían un correo electrónico de phishing que dirige a los usuarios a una página de phishing de AiTM, luego roban sus credenciales y cookies de sesión, que luego utilizan para iniciar el fraude BEC utilizando la cuenta de correo electrónico de la víctima.

Microsoft describió los detalles de la campaña de phishing de AiTM, señalando que los piratas informáticos implementaron servidores proxy (sitios web de phishing) entre los usuarios y los sitios web de destino que querían visitar cuando los piratas informáticos utilizaron correos electrónicos de phishing para atraer a los usuarios a visitarlos. Sitios web de destino. El servidor proxy actúa como un puente intermediario, lo que permite al servidor proxy obtener la contraseña ingresada por el usuario y la contraseña establecida entre el usuario y el sitio web de destino.

A excepción de la URL, el sitio web de phishing es casi idéntico al sitio web de destino, lo que dificulta que los usuarios lo detecten. Microsoft enfatiza que este ataque no tiene nada que ver con el mecanismo de inicio de sesión del usuario o la vulnerabilidad de seguridad en el mecanismo MFA. Es simplemente que el pirata informático secuestró el tiempo de inicio de sesión del usuario y pudo operar como tal.

Además, estas campañas de phishing aparentemente estaban dirigidas a usuarios de Office 365, ya que los piratas informáticos crearon sitios web falsos disfrazados de páginas de verificación en línea de Office.

Según el análisis de Microsoft, los ataques más rápidos son las estafas BEC que se lanzan cinco minutos después de que se roban las credenciales y las cookies de sesión.

Microsoft recomienda que las empresas habiliten políticas de acceso condicional, implementen soluciones antiphishing más avanzadas, detecten continuamente comportamientos sospechosos y anómalos o utilicen Microsoft 365 Defender para combatir los ataques de phishing de AiTM.

Este artículo fue publicado originalmente por iDoNews.