微软警告新型网络钓鱼攻击能够绕过多重身份验证（MFA）

为应对泛滥的帐号钓鱼攻击及弱密码爆破攻击，各领先厂商都在积极推动所有用户开通多重身份验证机制，谷歌、微软、Facebook等科技巨头正在积极引导用户删除密码，只使用多重身份验证来实现安全登录。

google身份验证器

微软身份验证器

然而，攻击者在短暂面临困难之后似乎已经找到越来越有效对抗多重认证的方法实施犯罪。

微软警告说，已检测到存在大规模部署的网络钓鱼活动，使用一种称为中间人攻击或AiTM的策略，据估计，从去年 9 月开始的一段时间内，该策略已经损害了超过10,000个组织。

AiTM有一个机制，攻击会劫持用户会话，这样攻击者就可以使用他们的会话凭据和cookie闯入受害者邮箱并进行欺诈活动。

在 AiTM策略下，钓鱼网站能够绕过认证合法网站，即使用户已经激活了多因素认证 (MFA)。

而多因素认证（MFA）是组织用来防范网络钓鱼攻击和帐户盗窃的有效安全措施，使得此类攻击令人担忧。

AiTM网络钓鱼攻击使用代理服务器插入攻击目标用户和它试图访问的合法网站之间，攻击者可以利用窃取的 cookie 进行身份验证并连接到站点，属于中间人攻击的一种。

在微软描述的攻击中，钓鱼网站代理了AzureActive Directory (AzureAD)目标的登录页面。这意味着在输入凭据并进行身份验证后，用户被重定向到合法页面，攻击者利用这一时刻获取凭据并冒充用户进行身份验证。

攻击流程示意图

当用户访问到钓鱼网站时，它生成的HTTP 数据包被攻击者的 Web 服务器捕获，然后发送到同样由该攻击者处理的目标服务器。

钓鱼页面

在微软的报告中，攻击者使用此类钓鱼伎俩成功后，会对目标组织实施商务电邮诈骗（BEC）——骗子会冒充某企业的承包商、供应商、债权人、甚至高管，向该企业财务人员发出欺诈电子邮件指令。

安全专家提醒用户小心处理不明邮件，涉及到付款操作的，更要特别谨慎。避免因网络钓鱼中招而造成严重损失。