סדרת מתקפות מתוחכמות מסוג Adversary-in-the-Middle פוגעות באמינות Microsoft 365 ומצליחות לעקוף גם אימות דו־שלבי. מאמר זה חושף את הטקטיקות המתקדמות וכיצד אפשר להתגונן מפניהן.
מתקפת AiTM : כך תוקפים חודרים ל־Microsoft 365
ערכת פישינג משוכללת עוקפת מנגנוני הגנה
חוקרי Sekoia זיהו ערכת פישינג חדשה, המכונה Adversary-in-the-Middle (AiTM) או "Sneaky Log", שמסוגלת לגנוב גם את שם המשתמש והסיסמה וגם את הקוד הדו־שלבי (2FA) המגן על חשבונות Microsoft 365. הערכה נמכרת כשירות פישינג (PhaaS) דרך בוט בטלגרם, כאשר התוקפים משתמשים באתרי וורדפרס פרוצים ושירותי ענן כדי לעקוף בדיקות מוניטין ואמצעי הגנה מקובלים.
נוסף לכך, הם טורחים לטשטש את דפי הכניסה ולהציג תכונת "autofill" (השלמה אוטומטית) שמעניקה תחושה של אתר לגיטימי ומשכנעת את המשתמש למסור את פרטי הכניסה.
הטעיה מתוחכמת באמצעות Cloudflare והסתרה חכמה
עיבוי הגנת CAPTCHA והסתרה מפני מנועי אבטחה
השיטה החדשה מנצלת את השירות החינמי של Cloudflare, המציג למבקרים דף CAPTCHA (בדיקה שמוודאת שהמבקר אינו רובוט). כך, תוכנות אוטומטיות לסריקת אתרים לתוכן זדוני מתקשות לזהות את המתקפה. התוקפים גם עושים שימוש בקוד שמשתנה בזמן אמת ובאתרים מוכרים ובעלי מוניטין.
כתוצאה מכך, מערכות אבטחה שמבוססות על בדיקת הדומיין או המוניטין של האתר אינן חוסמות אותם. כאשר כלי אבטחה מנסה לגשת לכתובת המזויפת, הוא מנותב לאתר תמים כמו ויקיפדיה, ואילו משתמש אנושי שמגיע לאותה כתובת מוצא דף כניסה מזויף.
איסוף הרשאות בזמן אמת וגניבת עוגיות
אימות דו־שלבי אינו מספיק: התוקפים מאזינים לתקשורת
ערכת ה־Sneaky Log מאפשרת לתוקפים לאסוף מידע רגיש וליירט בזמן אמת קובצי Cookie של session, מה שמעניק להם גישה מלאה לחשבון. אפילו אם למשתמש מופעל אימות דו־שלבי (2FA), התוקפים מסוגלים לעקוף את ההגנה, בייחוד במקרים של התחזות לכתובת מייל מוכרת.
הסיכון גובר עבור ארגונים המבוססים על Microsoft 365, מפני שמספיקה גישה זמנית או אימות חד־פעמי כדי לפגוע בפעילות העסקית.
המלצות מומחי אבטחת מידע של IPV Security
- התמקדות בהתנהגות הדף עצמו – מעבר לכלי סינון מבוססי מוניטין, כדאי להשתמש בבדיקת קוד דינמי או ניתוח בזמן אמת כדי לזהות התנהגויות חשודות.
- פריסת מערכות הגנה מרובת שכבות בצד הלקוח (Endpoint) – התקנה של כלים לזיהוי פישינג ברמת המחשב ולא רק ברמת הדוא"ל או רשת, כדי להתמודד עם הצפנה ו־session מוצפן.
- הרחבת אימות דו־שלבי לפישינג־רסיסטנט (FIDO2/WebAuthn) – שימוש באמצעים חזקים יותר שימנעו העברת הרשאות דרך צד שלישי.
- מעקב אחר דומיינים חדשים – הפעלת ניטור וגילוי דומיינים פוגעניים עם אופי התחזות או שנרשמו לאחרונה.
לסיכום,
סדרת ההתקפות המכונה "Sneaky Log" מדגישה כיצד תוקפים ממשיכים להתפתח ולהתגבר על הכלים הקיימים, תוך ניצול תשתיות קיימות ושירותי CAPTCHA כאמצעי הסתרה.
ארגונים הנשענים על Microsoft 365 זקוקים לפתרונות אימות מתקדמים, למערכות ניטור התנהגותיות ולערנות מוגברת אצל המשתמשים, שכן כיום גם אימות דו־שלבי מסורתי עשוי שלא להספיק מול ערכות פישינג שמוכיחות רמת תחכום גבוהה ביותר.
למידע נוסף: https://www.scworld.com/news/sneaky-log-phishing-kits-slip-by-microsoft-365-accounts
מעוניינים במבדקי פישינג ובמגוון הרצאות להעלאת מודעות הארגון לאירועי סייבר? פנו למומחי איי פי וי סקיוריטי!
להתייעצות בנוגע לאבטחת מידע ניתן לפנות לחברת IPV Security במייל info@ipvsecurity.com או במספר הטלפון 077-4447130. החברה מתמחה זה 20 שנה באבטחת מידע ועוסקת בסקרי סיכונים הנוגעים לביטחון מידע.
