微软揭露锁定Office 365用户且可绕过两步验证的大规模钓鱼攻击

DoNews 7月13日消息（刘文轩）微软透露，从2021年9月迄今，至少1万个组织成为中间人（Adversary-in-The-Middle，AiTM）钓鱼攻击的目标，且黑客主要锁定Office 365用户。由于黑客不仅窃取了用户的密码，也挟持了用户的登陆期间，因而也能绕过两步验证（Multi-Factor Authentication，MFA）机制。

黑客先是寄送了钓鱼邮件，将用户导至AiTM钓鱼页面，进而窃取用户的凭证与期间Cookie，随之黑客即利用所取得的凭证及登陆期间权限，以受害者的邮件帐号展开商业电子邮件（BEC）诈骗。

微软描述了AiTM钓鱼活动的细节，指出黑客在用户与所要造访的目标网站之间部署了一个代理伺服器（钓鱼网站），当黑客以钓鱼邮件诱导用户造访目标网站时，代理伺服器便充当中间的桥梁，使得该代理伺服器得以取得用户所输入的密码，以及用户与目标网站之间建立的登陆期间Cookie。

除了网址之外，该钓鱼网站几乎与目标网站一模一样，而让用户难以察觉。微软强调，此攻击无关用户所采用的登陆机制，亦非MFA机制的安全漏洞，仅仅是因为黑客挟持了用户的登陆期间，而能以用户的身分运作。

此外，这些钓鱼活动显然是锁定Office 365用户，因为黑客所打造的冒牌网站就是伪装成Office的线上认证页面。

根据微软的分析，最快的攻击行动在盗走凭证及期间Cookie的5分钟之后，便展开了BEC诈骗。

微软建议组织可启用条件式存取政策，部署更先进的防钓鱼解决方案，或是持续侦测可疑与异常行为，或使用Microsoft 365 Defender来对抗AiTM钓鱼攻击。