แคมเปญ ‘Phishing email’ โจมตีองค์กรนับหมื่นแห่ง
อีเมลอาจจะไม่ใช่คำตอบของการยืนยันตัวตนอีกต่อไป ผู้โจมตีกำลังหาวิธีใหม่ในการหลีกเลี่ยงมาตรการรักษาความปลอด ไมโครซอฟท์เปิดเผยว่า ขณะนี้มีธุรกิจประมาณ 10,000 แห่งถูกโจมตีในแคมเปญ Adversary-in-The-Middle หรือ AiTM ในช่วงหลายเดือนที่ผ่านมา ทั้งนี้สามารถโจรกรรมเงินไปได้หลายล้านดอลลาร์ โดยมีการสรุปไดอะแกรมกระบวนการอย่างละเอียดและอธิบายว่า การโจมตี AiTM ที่ซับซ้อนมักจะสามารถเลี่ยงการยืนยันตัวตนโดยใช้หลายปัจจัย (Multi-Factor Authentication หรือ MFA) และจัดการกับเป้าหมายที่จะหลอกลวง สำหรับแคมเปญใหญ่ของฟิชชิ่งที่ใช้เทคนิค AiTM เพื่อขโมยรหัสผ่าน โจรกรรมจากการลงชื่อเข้าใช้ของผู้ใช้ และข้ามกระบวนการตรวจสอบ แม้ว่าผู้ใช้จะเปิดใช้งานการรับรองความถูกต้องด้วยการยืนยันตัวตนโดยใช้หลายปัจจัย (MFA) ทว่าผู้โจมตียังสามารถใช้ข้อมูลประจำตัวที่ขโมย และคุกกี้เซสชั่น (session cookies) เพื่อเข้าถึงกล่องจดหมาย (mailboxes) ของผู้ใช้งานและดำเนินการติดตามไปยังแคมเปญการโจมตีผ่านอีเมลเพื่อหลอกเอาเงินจากองค์กร (Business Email Compromise หรือ BEC) กับเป้าหมาย วิธีการในแคมเปญฟิชชิ่ง AiTM ผู้โจมตีจะปรับใช้พร็อกซีเซิร์ฟเวอร์ระหว่างผู้ใช้งานที่เป็นกลุ่มเป้าหมายและเว็บไซต์ที่ผู้ใช้งานต้องการเข้าชมซึ่งการจัดการแบบนี้ช่วยให้ผู้โจมตีสามารถขโมยและสกัดกั้นรหัสผ่านของเป้าหมายและคุกกี้ของเซสชันที่เป็นขั้นตอนการยืนยันตัวตนผ่านเว็บไซต์ และเมื่อ AiTM ฟิชชิ่งขโมยเซสชันคุกกี้ แม้จะมีการยืนยันตัวตนโดยใช้หลายปัจจัย แต่ผู้โจมตีจะได้รับการตรวจสอบสิทธิ์ไปยังเซสชันในนามของผู้ใช้งานโดยไม่คำนึงถึงวิธีการลงชื่อเข้าใช้ที่ผู้ใช้งานใช้อยู่ ที่ผ่านมาการหลอกลวงแบบและโจมตีผ่านอีเมล หรือ Business Email Compromise (BEC)…