一种新的电子邮件攻击方式:AiTM

news2024/11/13 15:38:55

新的攻击组利用合作伙伴组织之间的信任关系来绕过多重身份验证。

图片

       一种新的攻击方式开始出现,它利用合作伙伴组织之间的信任关系绕过多重身份验证。在一个利用不同组织之间关系的攻击中,攻击者成功地对四家或更多组织进行了商业电子邮件欺诈(BEC)攻击,他们利用这些组织之间的关系从一个被入侵的组织跳到下一个。这种方式,被微软研究员称为多阶段中间人(AiTM)网络钓鱼,一般始于一个可信供应商被攻击,通常针对银行和金融服务领域的组织。

       “这种攻击展示了AiTM和BEC威胁的复杂性,它们滥用供应商、供应商和其他合作伙伴组织之间的信任关系,以进行金融欺诈”微软研究员说。

使用间接代理的网络钓鱼

       AiTM网络钓鱼是一种常见的绕过多重身份验证机制的技术,这些机制依赖于用户在登录会话期间手动输入的一次性代码,无论接收方式如何:电子邮件、短信或由手机应用程序生成。执行AiTM的最常见方法是使用反向代理,其中受害者连接到攻击者控制的域和网站,该网站仅将来自目标服务登录页面的所有内容和后续请求代理到真实登录页。 

       在这种网络钓鱼实现中,可用的开源工具包现成可用,攻击者获得了在受害者和他们正在认证的服务之间流量被动的监视角色。目标是从服务中捕获在认证完成后中返回的会话cookie,然后滥用它来直接访问受害者的帐户。然而,如果中间也存在其他程序在捕获信息,攻击者使用这种方法就有缺陷,因为后续的攻击者登录可能触发安全警报并标记会话为可疑。

       在微软观察到的新的攻击中,被称为Storm-1167的攻击者使用他们自己开发的定制的网络钓鱼工具包,并使用间接代理方法。这意味着攻击者设置的钓鱼页面不会从真正的登录页面代理任何内容,而是将其作为完全受攻击者控制的独立页面进行模仿。

       当受害者与钓鱼页面交互时,攻击者使用受害者提供的凭据与真实网站启动登录会话,然后使用虚假提示向受害者请求MFA代码。如果提供了代码,攻击者将其用于自己的登录会话并直接颁发会话cookie。受害者然后被重定向到伪造页面。这更符合传统的网络钓鱼攻击。

       “在这个使用间接代理的AiTM攻击中,由于钓鱼网站由攻击者设置,他们可以更多控制根据场景修改显示的内容,”微软研究员说。“此外,由于钓鱼基础设施由攻击者控制,他们有足够的灵活性创建多个服务器以逃避检测。与典型的AiTM攻击不同,这种方式没有在目标和实际网站之间代理HTTP数据包。”

建立持久的电子邮件访问并发起BEC攻击

       一旦连接到受害者的帐户,攻击者就会生成一个新的访问代码,以延长他们的访问时间,然后继续向该帐户添加新的MFA身份验证方法,即使用带有伊朗号码的SMS服务。然后,他们创建一个电子邮件收件箱过滤规则,将所有传入的电子邮件移动到“存档”文件夹,并将其标记为已读。

       攻击始于针对一家充当多个组织可信供应商的公司员工的网络钓鱼活动,攻击者使用指向Canva.com的URL,这是一个用于创建视觉演示文稿、海报和其他图形的免费在线图形设计平台。URL指向攻击者在Canva上创建的页面,该页面模仿OneDrive文档预览。如果单击该图像,将用户重定向到伪造的Microsoft登录页面进行身份验证。

       在入侵供应商的电子邮件帐户后,攻击者从现有电子邮件中提取电子邮件地址,并发送了大约 16,000 封经过修改的恶意 Canva URL 的电子邮件。“攻击者随后监控了受害用户的邮箱中是否有未送达和外出的电子邮件,并将其从存档文件夹中删除,”Microsoft研究人员说。“攻击者阅读了收件人反馈的电子邮件,并对收件人对URL地址的质疑进行回应,以此让收件人确认该电子邮件是合法的。然后,将电子邮件和回复从邮箱中删除。

       供应商网络钓鱼电子邮件的收件人被引导到类似的AiTM网络钓鱼页面,然后攻击链继续。来自不同组织的第二次网络钓鱼活动的受害者,其电子邮件帐户被入侵,并用于向合作伙伴组织发起下一步的网络钓鱼电子邮件。后续受害者的帐户以类似的方式遭到滥用。 

       与软件供应链攻击一样,这种多阶段AiTM网络钓鱼和BEC组合可能看到指数级的增长,并可能沿着信任链到达很远的地方。根据FBI互联网犯罪投诉中心(IC3)6月9日的一份新报告,2021年12月至2022年12月间,BEC诈骗造成的损失增加了17%。BEC攻击的目标通常是通过欺骗收件人发起恶意电汇、共享私人个人信息和财务信息或转移加密货币。IC3在过去10年中记录了277,918起国际BEC事件,造成超过500亿美元的损失。 

       “这种AiTM攻击使用间接代理是一个例子,说明威胁日益复杂和不断发展的TTPs,以规避和挑战常规解决方案和最佳实践,”微软研究员说。“因此,积极搜索和快速响应在保护组织网络方面变得更加重要,因为它为其他安全防护措施提供了附加的保障,并有助于解决防御绕过的一些问题。”

       一些缓解解决方案包括使用无法通过 AitM 技术截获的 MFA 方法,例如使用 FIDO 2 密钥和基于证书的身份验证的方法。组织还可以实现条件访问策略,这些策略使用其他用户或设备标识信号(如 IP 位置或设备状态)检测登录请求。

文章来源:csoonline

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2151868.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

中泰免签,准备去泰国旅游了吗?《泰语翻译通》app支持文本翻译和语音识别翻译,解放双手对着说话就能翻译。

泰国是很多中国游客的热门选择,现在去泰国旅游更方便了,因为泰国对中国免签了。如果你打算去泰国,那么下载一个好用的泰语翻译软件是很有必要的。 简单好用的翻译工具 《泰语翻译通》App就是为泰国旅游设计的,它翻译准确&#x…

Golang | Leetcode Golang题解之第420题强密码检验器

题目: 题解: func strongPasswordChecker(password string) int {hasLower, hasUpper, hasDigit : 0, 0, 0for _, ch : range password {if unicode.IsLower(ch) {hasLower 1} else if unicode.IsUpper(ch) {hasUpper 1} else if unicode.IsDigit(ch)…

Python | Leetcode Python题解之第421题数组中两个数的最大异或值

题目: 题解: class Trie:def __init__(self):# 左子树指向表示 0 的子节点self.left None# 右子树指向表示 1 的子节点self.right Noneclass Solution:def findMaximumXOR(self, nums: List[int]) -> int:# 字典树的根节点root Trie()# 最高位的二…

大模型中常见 loss 函数

loss 函数 首先,Loss 是允许不降到 0 的,模型计算的 loss 最终结果可以接近 0。 可以成为 loss 函数的条件## 常用 loss 以下函数调用基于 Pytorch,头文件导入: import torch.nn as nn 均方差(MSE) nn.…

基于微信小程序的剧本杀游玩一体化平台

作者:计算机学姐 开发技术:SpringBoot、SSM、Vue、MySQL、JSP、ElementUI、Python、小程序等,“文末源码”。 专栏推荐:前后端分离项目源码、SpringBoot项目源码、SSM项目源码 系统展示 基于微信小程序JavaSpringBootVueMySQL的剧…

详细分析Java中的ObjectMapper基本知识(附Demo)

目录 1. 基本知识2. 基本操作2.1 转换Java对象为JSON2.2 转换JSON为Java对象 3. 拓展 1. 基本知识 ObjectMapper 是 Jackson 数据处理库中的核心类之一,主要用于将 Java 对象转换为 JSON 和将 JSON 转换为 Java 对象 Jackson 是当前最流行的 JSON 处理库之一&…

秒懂Linux之消息队列与信号量(了解)

目录 前言 消息队列原理 信号量理论 信号量原理 IPC资源 前言 消息队列与信息量目前已经不常用了,大家也可以参考共享内存去了解基本原理即可。 消息队列原理 消息队列提供了一个从一个进程向另外一个进程发送一块数据的方法 每个数据块都被认为是有一个类型&…

ArcGIS10.2/10.6安装包下载与安装(附详细安装步骤)

相信从事地理专业的小伙伴来说,应该对今天的标题不会陌生。Arcgis是一款很常用的地理信息系统软件,主要用于地理数据的采集、管理、分析和展示。目前比较常见的版本有ArcGIS 10.2和ArcGIS 10.6。 不可否认,Arcgis具有强大的地图制作、空间分…

Linux环境Docker安装Mongodb

Linux环境Docker安装Mongodb 环境要求拉取指定版本镜像创建映射目录(相当于数据存放于容器外,容器被删除不会影响数据)启动容器 进入mongo命令行为指定db创建新用户查看mongodb的容器id进入命令行查看所有db切换db为指定db创建新用户使用新账…

5、论文阅读:深水下的图像增强

深水下的图像增强 前言介绍贡献UWCNN介绍网络架构残差Residuals块 Blocks网络层密集串联网络深度减少边界伪影网络损失Loss后处理前言 水下场景中,与波长相关的光吸收和散射会降低图像的可见度,导致对比度低和色偏失真。为了解决这个问题,我们提出了一种基于卷积神经网络的…

【JavaEE】线程创建和终止,Thread类方法,变量捕获(7000字长文)

阿华代码,不是逆风,就是我疯,你们的点赞收藏是我前进最大的动力!!7000字长文,希望本文内容能够帮助到你! 目录 一:创建线程五种方式 方式一:继承Thread类,…

服务器非法关闭后MySQL服务启动失败

在写这篇文章前,我弄好了,写完之后把成功安装的几个MySQL都删除了,只留了最后测试成功的服务“mysql-test” ,然后点击运行,发现又出现上图的错误。心态炸了。 本以为定位到问题了,但是这个错误让我迷茫了。我只能临时…

缓存技巧 · Spring Cache Caffeine 高性能缓存库

Caffeine 背景 Caffeine是一个高性能的Java缓存库,它基于Guava Cache进行了增强,提供了更加出色的缓存体验。Caffeine的主要特点包括: 高性能:Caffeine使用了Java 8最新的StampedLock乐观锁技术,极大地提高了缓存的并…

VisionPro - 基础 - 00 模板匹配技术和在VP中的使用 - PMAlign - PatMax - (3)

前言: 针对PatMax 的高级应用和原理,在这一节继续进行说明:这一节主要考虑的是PatMax模板匹配的原理: How PatMax Finds Patterns in an Image PatMax 模板匹配原理 1 Run-time Space When you search for a PatMax pattern in …

World of Warcraft [CLASSIC] International translation bug

internationalization i18n_getinternationalizationjs-CSDN博客 1)国际化翻译不完整 Chance on melee and ranged critical strike to increase your attack power by 1262 for 10s. 2)更新美酒节,服务器并发太高,被提出副本 Wo…

DataFrame生成excel后为什么多了一行数字

问题描述 python查询数据生成excel文件,生成的excel多了第一行数字索引,1,2,3,4,5...... 代码: df pd.DataFrame(data)df.to_excel(filename, sheet_name用户信息表, indexFalse) 解决: 原理也很简单,就是设置个参…

Java对象一口气讲完!φ(* ̄0 ̄)

Java Object类 Java面向对象设计 - Java Object类 Java在java.lang包中有一个Object类。 所有Java类都直接或间接扩展Object类。 所有Java类都是Object类的子类Object类是所有类的超类。 Object类本身没有超类。 Object类的引用变量可以保存任何类的对象的引用。 以下代…

python中ocr图片文字识别样例(一)

一、使用easyocr安装依赖 pip install easyocr pip install opencv-python-headless # 处理图像二、具体实现,此处有个缺陷,大家可以尝试解决下,识别的文字打印结果没问题,但是图片识别出现乱码: 2.1 具体识别的图片…

Springboot 文件上传下载相关问题

文章目录 关于Springboot 文件上传下载问题解决方案注意事项文件上传文件下载文件删除文件在线打开在写练习的时候,发现了一些小小的问题,已经在 上述代码中体现。① 代码路径碰到中文的时候,会有乱码,需要转换(内容中…

【全网首发】2024华为杯数学建模ABCDEF选题方向+完整思路代码+数据集处理+可视化结果

2024华为杯研究生数学建模比赛ABCDEF选题分析 建议选哪道题? 点击链接加入群聊【2024华为杯数学建模助攻资料】:http://qm.qq.com/cgi-bin/qm/qr?_wv1027&kxtS4vwn3gcv8oCYYyrqd0BvFc7tNfhV7&authKeyedQFZne%2BzvEfLEVg2v8FOm%2BWNg1V%2Fiv3H…