Angripare effektiviserar sina phishing-kampanjer och kringgår MFA

Phishing-angrepp är inget nytt fenomen. Det har pågått sedan mitten av 1990-talet. Och det pågår än idag – fortfarande framgångsrikt. Och syftena från angriparens sida är fortsatt detsamma, att försöka lura offret att göra något den inte borde. Exempelvis lämna ifrån sig känslig information såsom inloggningsuppgifter. Eller köra skadlig kod. I takt med att skydden mot phishing har blivit bättre och användarna har blivit mer medvetna – så har också angripare förfinat sina metoder för att öka sina chanser till lyckad fångst.

Phishing är mer storskaligt än någonsin och trovärdigheten i phishingkampanjernas utformning är bättre. Det kan många gånger vara svårt att avgöra om ett mail eller en websida är legitim eller inte.

Microsoft rapporterade i Juli 2022 om ett nytt fenomen av sessions-cookie-stöld. Att stjäla sessions-cookies är i sig ingen nyhet. Men sättet det nu har börjat utföras på är anmärkningsvärt.

En sessions-cookie är en cookie som skapas i din enhet när du loggar in på en sida. Detta kan vara med exempelvis användarnamn, lösenord och multifaktorsautentisering. Syftet med sessions-cookien är att du som användare skall få en bättre användarupplevelse och inte behöva logga in varje gång du besöker en ny sida.

I tidigare metoder så har angripare skapat egna, imiterade, phishing-sidor som skall efterlikna det mål som användare känner igen. Genom att lura användaren att logga in på phishingsidan så kan angripare stjäla sessions-cookien.

AiTM-phishing

Sedan hösten 2021 har Microsoft sett en ny variant av phishing-kampanj där syfte är att stjäla sessions-cookies. Men i stället för att skapa en imiterad phishing-sida så har angriparen skapat en phishing-sida via en skadlig proxy. Metoden kallas AiTM Phishing (adversary-in—the-middle). Proxyn i sig anropar den legitima sidan och hanterar kommunikationen mellan användaren och den legitima sidan. Användaren ser därför den sida som den förväntar sig och bedömer troligen den som legitim. Det enda som skiljer är URL-en som leder till den skadliga proxyn. Om användaren lyckas logga in, även om MFA används, så kommer troligen angriparen att få tillgång till sessions-cookien till den legitima sidan. Denna kommer sedan att kunna nyttjas av angriparen för att få obehörig åtkomst utan varesig användarnamn, lösenord eller MFA. Dessutom har angriparen inte behövt skapa en imiterad sida vilket effektiviserar angreppen och ger det större skalmöjligheter.

Detta är ett steg ökad sofistikeringsgrad och effektivisering som kommer att följas av ytterligare förfining och trovärdighet över tid.

 

Hur kan vi skydda oss?

  • MFA. Även om MFA kringgås i detta exempel så det viktigt att understryka att MFA fortsatt är en grundpelare i er identitetshantering och detta skyddar effektivt mot en stor mängd av hot.
  • Conditional access. Använd CA för att förfina vad som krävs av användaren för att nå känslig information. Exempelvis att enheten som försöker nå informationen skall följa regeler uppsatta för organisationen eller komma från kända IP-adresser.
  • Avancerade anti-phishing skydd. Skanna och monitorera inkommande mail och besökta websidor.
  • Kontinuerlig bevakning. Leta proaktivt efter onormala beteenden, inloggningsförsök, m.m.
  • Utbildning. Utbilda användare i riskmedvetenhet. Kontinuerligt.

 

Läs mer på Microsofts blogg

Publicerat
onsdag 10 augusti, 2022
Ämnen
Cybersäkerhet Integritet Kunskapsinlägg Omvärldsbevakning

Promobility är en IT-partner inom modern infrastruktur, digital säkerhet och applikationsutveckling. Vi arbetar med teknisk och strategisk rådgivning inom modern klienthantering (MDM, EMM, UEM), offensiv, defensiv och strategisk cybersäkerhet samt iOS och Android-utveckling m.m. Vi är baserade i Karlstad men arbetar över hela Sverige och Skandinavien.

Integritetspolicy

© Copyright 2022 Promobility