22 de julho de 2022

Campanhas de phishing estão usando proxies da Web para imitar páginas de login corporativas, fazendo com que cibercriminosos consigam burlar a autenticação multifator

Recentemente, a Microsoft alertou sobre uma campanha de phishing de grande escala, que atingiu mais de 10.000 organizações desde setembro de 2021.

Utilizando recursos de AiTM (adversary-in-the-middle), esses sites de phishing podem ignorar medidas de segurança mesmo quando o usuário habilita a autenticação multifator (MFA).

O ataque envolve o sequestro da sessão de login de um usuário e o uso de credenciais roubadas e cookies de sessão para acessar o e-mail das vítimas via fraude de comprometimento de e-mail corporativo (BEC).

A MFA é uma das principais maneiras pelas quais as organizações podem se proteger contra ataques de phishing e roubo de credenciais. A administração do presidente Biden tornou a MFA obrigatória para agências federais, enquanto outras organizações, como a Python Software Foundation, estão tornando a MFA um requisito mínimo para projetos críticos. A Microsoft também está tentando facilitar a MFA entre organizações para evitar ataques à cadeia de suprimentos.

Mas mesmo essa medida de segurança já não parece o suficiente.

Como funciona o ataque de phishing AiTM

Os ataques de phishing AiTM envolvem a implantação de um servidor proxy entre a vítima e o site que a vítima pretende visitar. Esse servidor é gerido pelo criminoso.

Logo, não é que a MFA não funcione, nesse caso, mas como o cookie de sessão do navegador foi roubado, não importa como o usuário fez login em um site – o invasor ainda é autenticado graças ao cookie roubado.

“Todo serviço web moderno implementa uma sessão com um usuário após a autenticação bem-sucedida, para que o usuário não precise ser autenticado a cada nova página que visita”, explica a Microsoft.

“Esta funcionalidade de sessão é implementada através de um cookie de sessão fornecido por um serviço de autenticação após a autenticação inicial. O cookie de sessão é uma prova para o servidor web de que o usuário foi autenticado e tem uma sessão em andamento no site. No phishing AiTM, um invasor tenta obter o cookie de sessão de um usuário de destino para que ele possa pular todo o processo de autenticação subsequente”.

Nos ataques que a Microsoft destaca, os criminosos corromperam a página de entrada do Azure Active Directory (Azure AD). Depois que a vítima insere suas credenciais e se autentica, ela é redirecionada para a página legítima. Mas durante esse processo, o invasor intercepta as credenciais e também é autenticado em nome do usuário.

Como a Microsoft detalha em um diagrama, a página de phishing tem duas sessões diferentes de Transport Layer Security (TLS): a primeira sessão com o indivíduo-alvo e outra sessão com o site que a vítima deseja acessar.

“Essas sessões significam que a página de phishing praticamente funciona como um agente AiTM, interceptando todo o processo de autenticação e extraindo dados valiosos das solicitações HTTP, como senhas e, mais importante, cookies de sessão. em seu navegador para pular o processo de autenticação, mesmo se a MFA do alvo estiver habilitada”, observou a Microsoft.

A empresa também identificou uma campanha em que os invasores enviaram e-mails com um anexo de arquivo HTML instruindo as vítimas a abrir uma mensagem de voz. Esse estilo de ataque, uma forma de vishing ou phishing de voz, está em alta e é usado com mensagens gravadas no LinkedIn e WhatsApp.

Após abrir o arquivo HTML anexado, ele é carregado no navegador do usuário e exibe uma página informando que a mensagem de voz está sendo baixada. Nenhum arquivo MP3 está sendo baixado, porém, mas os invasores codificaram uma barra de progresso de download no arquivo para fazer parecer que isso estava acontecendo.

Embora os ataques de AiTM sejam difíceis de detectar, a Microsoft diz que os clientes devem configurar o Acesso Condicional no Azure AD para mitigá-los e monitorar e-mails e sites recebidos em busca de ameaças de phishing.

Você também pode manter sua empresa segura com medidas de proteção adicionais. Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

Compugraf

Especialista em segurança de dados e certificada por parceiros reconhecidos mundialmente, a Compugraf está pronta para proteger sua empresa na era digital.

O que procura?