按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

Microsoft:一場針對一萬家企業發動的釣魚攻擊,可跳過多階段登入驗證成功入侵

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2022-07-14
  • 點閱次數:9130
Microsoft:一場針對一萬家企業發動的釣魚攻擊,可跳過多階段登入驗證成功入侵 TWCERT/CC

Microsoft 日前發表研究報告,指出目前正有一波進行中的大規模釣魚攻擊,鎖定 10,000 家以上公私單位發動駭侵攻擊;特別的是,該攻擊可以挾持受害者的 Office 365 登入驗證程序,即使是以多重驗證機制保護的登入程序亦可破解。

據 Microsoft 的資安通報指出,駭侵者使用了可以挾持 Office 365 登入程序頁面的釣魚入口網頁,當受害者收到釣魚信件,點按信件中的釣魚連結後,就會被導到釣魚網頁入口,在竊得用戶輸入的登入資訊和操作階段 cookie 後,還會透過代理(proxy)手段,將收到的多重驗證碼輸入頁面轉給用戶,由用戶輸入驗證碼後,再由駭侵者「代為登入」後,駭侵者即可進入目標系統中,進行進一步的駭侵攻擊。

Microsoft 在報告中稱這種攻擊手法為 Adversary-in-the-middle(AiTM),且這種攻擊手法可以使用如 Evilginx2、Modlishka、Muraena 等多種開源釣魚攻擊工具來進行自動化操作。

Microsoft 指出,該公司透過分析來自 Microsoft 365 Defender 的各種資料,發現自 2021 年 9 月起,這類 AiTM 攻擊便大量出現,攻擊對象超過 10,000 家以上公私單位。

為抵禦日益增加的 AiTM 攻擊,Microsoft 建議使用以憑證為基礎,且支援 Fast ID Online (FIDO) 2.0 的多重登入驗證流程,同時也要特別注意可疑的登入以及信箱活動,並且以條件限制未登錄的裝置或不在信任白名單內的 IP 存取內網資源。另外,終端用戶也應避免點擊或開啟疑似釣魚郵件中的連結與附件。

回頁首