Потребителите на една от услугите на Microsoft са били засегнати от фишинг атака в продължение на цели 6 години
В продължение на 6 години не е била открита фишинг акция, ориентирана към потребителите на наследената услуга за обединен вход на Microsoft: над 150 организации в секторите на образованието, опазването на здравето, държавното ръководство и технологиите. Нападателите разчитат на техники за обществено инженерство, а не на механически уязвимости в системите.
Киберпрестъпниците изпращат фишинг имейли на евентуалните жертви, представяйки се за представители на службите за сигурност. След като кликне върху линк от такова електронно писмо, потребителят на корпоративна система се насочва към подправена страница за вход в Active Directory Federation Services (ADFS), където вкарва своите идентификационни данни и код за многофакторна автентикация.
Схемата се извършва съвсем без смяна от 2018 година насам, настояват от Abnormal Security. Няма съответен причинител на офанзивата – акцията е обвързвана с няколко финансово стимулирани киберпрестъпни групи, които могат да продават откраднати идентификационни данни.
Повечето жертви се намират в Северна Америка, Европа и Австралия. На просветителните организации се падат 52,8% от офанзивите, на здравните – 14,8%, а на държавните организации – 12,5%. Microsoft прикани клиентите си да се откажат от услугата ADFS в интерес на по-надеждната Entra ID, само че по финансови и механически аргументи това не постоянно е допустимо: в доста организации не престават да се употребяват наследени системи, съвместими единствено с ADFS, а прекосяването към Entra би изисквало комплицирано внедряване на нови принадлежности.
Въпреки това сходни фишинг офанзиви са вероятни и с Entra, означават от Abnormal Security. Според специалистите по-ефективен метод за отбрана е да се редуцира срокът на годност на токените и кодовете за многофакторно засвидетелствуване – това ще ограничи опцията нападателите да употребяват откраднати данни. Блокирането на известни домейни, свързани с акцията също ще помогне – киберпрестъпниците разчитат на същата инфраструктура от години.
