Microsoft ha scoperto una campagna di phishing su larga scala che sfrutta siti AiTM (Adversary-in-The-Middle) per rubare le credenziali di accesso alle email aziendali. I cybercriminali utilizzato una tecnica che permette di aggirare l’autenticazione multi-fattore (MFA). In base ai dati rilevati dall’azienda di Redmond, a partire da settembre 2021 sono state colpite oltre 10.000 organizzazioni. Questo tipo di minaccia informatica viene rilevata e bloccata da tutte le soluzioni di sicurezza, tra cui quelle di Bitdefender.
Phishing sempre più pericoloso
Il phishing è una delle tecniche più utilizzate per ottenere l’accesso alla rete aziendale. L’autenticazione multi-fattore fornisce una protezione aggiuntiva che riduce la probabilità di subire il furto delle credenziali. Microsoft ha tuttavia scoperto un metodo che i cybercriminali hanno sfruttato per aggirare questa misura di sicurezza.
Ciò avviene attraverso un sito AiTM che consente di intercettare i cookie di sessione e quindi di saltare l’intero processo di autenticazione. I cybercriminali utilizzano un server proxy per inviare al sito reale le credenziali di login che le vittime inseriscono nel sito di phishing.
L’attacco di phishing inizia con l’invio di un’email, alla quale è allegato un file HTML che porta al sito AiTM. L’utente vedrà quindi una pagina simile a quella di accesso all’account Microsoft (i target della campagna sono gli utenti di Office 365). Dopo aver inserito le credenziali di login, l’utente vedrà il sito reale di Office, ma i cybercriminali hanno intercettato password e cookie di sessione.
A questo punto è possibile effettuare diverse attività fraudolente, come l’invio di fatture per convincere la vittima al pagamento. È consigliato l’uso di soluzioni anti-phishing che bloccano l’accesso ai siti AiTM, come quelle offerte da Bitdefender.