Microsoft cảnh báo các cuộc tấn công mạng nhắm vào hơn 10.000 tổ chức qua Office 365

Theo Microsoft, các cuộc tấn công giả mạo (Phishing) diễn ra từ tháng 9/2021 bằng cách đánh cắp thông tin đăng nhập Office 365 đã ảnh hưởng đến hơn 10.000 tổ chức.

Thông qua những trang web lừa đảo AiTM (Adversary in the middle), các tin tặc có thể vượt qua tính năng xác thực nhiều lớp (MFA) của người dùng Office 365 bằng cách tạo ra trang xác thực Office 365 giả mạo.

Trong quy trình này, kẻ tấn công lấy đi Session Cookie (tệp chứa mã định danh mà máy chủ trang web gửi đến trình duyệt để sử dụng tạm thời trong một khung thời gian giới hạn) của nạn nhân thông qua triển khai máy chủ Proxy (máy chủ có nhiệm vụ chuyển tiếp thông tin và kiểm soát, tạo sự an toàn cho việc truy cập Internet của các máy khách) ở giữa mục tiêu và trang web bị giả mạo.

Về cơ bản, các tin tặc có thể can thiệp vào các phiên đăng nhập Office 365 để đánh cắp thông tin đăng nhập. Kỹ thuật còn được gọi là Session Hijacking. Tuy nhiên, mọi chuyện không dừng lại ở đó.

Một khi kẻ tấn công tiếp cận được hộp thư của nạn nhân thông qua trang web AiTM, hắn có thể tiến hành các cuộc tấn công xâm phạm email doanh nghiệp (BEC). Kẻ tấn công có thể mạo danh quản lý cấp cao để ra lệnh cho nhân viên thực hiện một số hành động gây hại cho tổ chức, dẫn đến nhiều vụ gian lận thanh toán.

Microsoft nhấn mạnh, thủ đoạn lừa đảo AiTM cho phép kẻ tấn công thay mặt người dùng để xác thực trong phiên đăng nhập, bất kể người dùng sử dụng hình thức đăng nhập nào.

Cảnh báo của Microsoft cho thấy, tội phạm mạng đang ngày càng phát triển nhiều cách thức tinh vi hơn để vượt qua các biện pháp bảo mật.

Minh Thuỳ (T/h)