Con un attacco phishing su larga scala, gli hacker hanno aggirato l’autenticazione multi-fattore (MFA) degli account Microsoft
Se la tecnologia è difficile da aggirare, perché non sfruttare il fattore umano per hackerare milioni di account semplicemente creando degli attacchi di phishing mirati e fatti per bene, che permettono di ottenere gli stessi risultati ma senza bucare alcun server o con procedure complicate.
E’ Microsoft a scoprire una campagna di phishing condotta in tutto il mondo, tramite l’utilizzo di siti AiTM (Adversary-in-The-Middle) che si occupavano di rubare le credenziali per accedere alla rete aziendale e che forniva accesso completo all’account dell’utenza senza neanche richiedere l’MFA.
Questo è stato possibile grazie alla possibilità offerta da questa tecnica che intercetta i cookie di sessione, e quindi non richiedere l’autenticazione in due fattori, in quanto il server Microsoft, riconosceva come lecita quella connessione, già verificata dall’MFA in precedenza (memorizzata proprio nei cookie).
La tecnica usata per compiere l’attacco è abbastanza astuta. Si crea un sito AiTM che permette di intercettare i cookie di sessione e gli hacker tramite un server proxy inviano le credenziali al sito reale per autenticarsi senza che il sito richieda l’MFA perché crede che sia l’utente legittimo ad aver fatto la connessione.
Una tecnica non nuovissima ma che permette a malintenzionati di accedere agli account aziendali in modo relativamente semplice con un attacco di phishing andato a segno ed ovviamente dopo aver indotto l’utente a cliccare sul link ed inserire le credenziali che poi saranno utilizzati dall’hacker per compiere l’accesso.
Come al solito in questi casi è necessaria massima cautela per proteggersi da eventuali click su siti non reali dove vi verrà chiesto di inserire le credenziali del vostro account (mail e password) e li sarete caduti nel tranello dell’hacker che avrà le vostre credenziali e anche i cookie catturati per fare l’accesso senza l’MFA.
