Microsoft telah memperingatkan pengguna tentang gelombang berbahaya serangan phishing AiTM yang telah mempengaruhi lebih dari 10.000 organisasi. Serangan telah terjadi sejak September 2021 dan mencuri kredensial masuk pengguna Office 365.
Penyerang Mampu Melewati Office365 MFA
Dengan menggunakan situs web phishing adversary-in-the-middle (AiTM), pihak jahat dapat melewati otentikasi multi-faktor (MFA) fitur yang digunakan oleh pengguna Office365 dengan membuat halaman otentikasi Office365 palsu.
Dalam proses ini, penyerang bertujuan untuk mendapatkan cookie sesi korban melalui penyebaran server proxy antara target dan situs web yang dipalsukan.
Pada dasarnya, penyerang mencegat sesi masuk Office365 untuk mencuri informasi masuk. Ini dikenal sebagai pembajakan sesi. Tapi hal-hal tidak berhenti di situ.
Serangan AiTM Menyebabkan Serangan BEC dan Penipuan Pembayaran
Setelah penyerang mendapatkan akses ke kotak surat korban melalui situs AiTM, mereka dapat melanjutkan untuk melakukan serangan kompromi email bisnis (BEC). Penipuan ini melibatkan peniruan identitas staf perusahaan tingkat tinggi untuk mengelabui karyawan agar melakukan tindakan yang dapat membahayakan organisasi.
Hal ini telah menyebabkan beberapa contoh penipuan pembayaran dengan mengakses dokumen keuangan pribadi organisasi target. Mengambil data ini sering menyebabkan dana ditransfer ke akun yang dikendalikan penyerang.
Dalam posting panjang di Blog Keamanan Microsoft, perusahaan mengklaim telah "mendeteksi beberapa pengulangan kampanye phishing AiTM yang berusaha menargetkan lebih dari 10.000 organisasi sejak September 2021".
Serangan Ini Bukan Indikasi Kelemahan MFA
Meskipun serangan ini memanfaatkan otentikasi multi-faktor, itu tidak mewakili segala jenis ketidakefektifan dari tindakan keamanan ini. Microsoft menyatakan dalam posting blognya bahwa ini karena "Phishing AiTM mencuri cookie sesi, penyerang diautentikasi ke sesi atas nama pengguna, terlepas dari metode masuk yang terakhir menggunakan".
Karena autentikasi multi-faktor bisa sangat protektif, penjahat dunia maya mengembangkan cara untuk mengatasinya, yang lebih menunjukkan keberhasilan fitur, daripada peringatannya. Jadi, kampanye phishing ini TIDAK boleh dilihat sebagai alasan untuk menonaktifkan MFA di akun Anda.
Phishing Adalah Metode Serangan yang Sangat Umum
Phishing sekarang menjadi metode serangan online yang sangat umum, dengan kampanye AiTM khusus ini berhasil mempengaruhi ribuan pihak yang tidak mengetahuinya. Meskipun tidak menunjukkan kelemahan MFA, ini menunjukkan bahwa penjahat dunia maya sekarang mengembangkan cara baru untuk mengatasi tindakan keamanan tersebut.
