Gli hacker possono dirottare gli account di posta elettronica di Outlook anche se sono protetti con l'autenticazione a più fattori, ha avvertito Microsoft.
I team di sicurezza informatica aziendale del Threat Intelligence Center e il team di ricerca di Microsoft 365 Defender hanno scoperto (si apre in una nuova scheda) una nuova campagna di phishing su larga scala che ha preso di mira più di 10 aziende nell'ultimo anno.
Gli account e-mail compromessi vengono quindi utilizzati per gli attacchi Business Email Compromise (BEC), in cui i partner commerciali, i clienti e i clienti della vittima finiscono per essere truffati per i loro soldi.
Ruba i cookie di sessione
La vittima riceveva un'e-mail di phishing, con un collegamento per accedere al proprio account Outlook. Questo collegamento, tuttavia, li porterebbe a un sito proxy, apparentemente identico al sito legittimo. La vittima proverebbe a connettersi e il sito proxy lo permetterebbe, inviando tutti i dati.
Tuttavia, una volta che la vittima ha completato il processo di autenticazione, l'attaccante ruberebbe il cookie di sessione. Poiché l'utente non ha bisogno di riautenticarsi a ogni nuova visita alla pagina, questo dà anche pieno accesso all'autore della minaccia.
"Sulla base delle nostre osservazioni, dopo che un account compromesso ha effettuato l'accesso al sito di phishing per la prima volta, l'aggressore ha utilizzato il cookie di sessione rubato per autenticarsi con Outlook Online (outlook.office.com)", si legge nel post sul blog di Microsoft. "In molti casi, i cookie avevano un reclamo MFA (si apre in una nuova scheda), il che significa che anche se l'organizzazione aveva una politica MFA, l'aggressore ha utilizzato il cookie di sessione per ottenere l'accesso al nome dell'account utilizzato".
Dopo aver messo le mani sull'account di posta elettronica, gli aggressori avrebbero continuato a prendere di mira i contatti nella posta in arrivo, utilizzando le identità rubate per cercare di indurli a inviare pagamenti di dimensioni diverse.
Per garantire che la vittima originale non sappia che i suoi account di posta elettronica sono oggetto di abusi, gli aggressori impostano regole di posta in arrivo sull'endpoint, contrassegnando le loro e-mail come lette per impostazione predefinita e spostandole immediatamente nell'archivio. Si diceva che gli aggressori controllassero la posta in arrivo ogni due giorni.
"In un'occasione, l'attaccante ha effettuato più tentativi di frode contemporaneamente dalla stessa casella di posta compromessa", spiega Microsoft. "Ogni volta che l'attaccante trova un nuovo obiettivo di frode, aggiorna la regola della posta in arrivo che ha creato per includere i domini organizzativi di quei nuovi obiettivi".