Microsoft објави извештај со детали за големата тековна кампања за фишинг, која е специфична по тоа што корисничките сметки биле хакирани дури и кога биле заштитени со повеќефакторска автентикација што требало да спречи таков епилог на нападот.
Актерите зад оваа операција, која нападна 10.000 организации од септември, го искористија својот пристап до хакираните е-пошти на жртвите за да ги измамат вработените да им испратат пари.
Повеќефакторска идентификација, позната и како двофакторна автентикација, MFA или 2FA, е златен стандард за безбедност на сметката. Потребно е од корисникот на сметката да го докаже својот идентитет со нешто што го поседува или контролира (физички безбедносен клуч, отпечаток од прст или скенирање на лице) покрај лозинката. Зголемената употреба на MFA им отежнува на хакерите да преземат сметки, но оние што стојат зад оваа кампања најдоа начин да ја заобиколат заштитата на MFA.
Извештајот на Microsoft објасни дека напаѓачите користат фишинг-страница под нивна контрола како прокси помеѓу корисникот и серверот на кој корисникот се обидува да се најави. Кога корисникот ќе внесе лозинка на фишинг сајтот, таа се испраќа до легитимната страна на која корисникот сакал да се најави, а потоа таа страна го испраќа MFA екранот до прокси сајтот. Кога корисникот ќе ја заврши автентикацијата, страницата за фишинг испраќа барање до легитимната страна, која го враќа колачето за сесија што сега е во рацете на напаѓачот, а страницата за фишинг го пренасочува корисникот на друга страница. Идентитетот на корисникот не треба повторно да се потврдува на секоја нова посетена страница. Нападот обично започнува со фишинг-пошта со HTML прилог што води до прокси-сервер.
Во деновите по кражбата на колачињата, напаѓачите пристапувале до сметките на е-пошта на вработените и барале пораки за да ги користат во измами, наведувајќи ги жртвите да префрлат големи суми пари на сметки за кои верувале дека им припаѓаат на колеги или деловни партнери. Напаѓачите користеле е-пошта и украден идентитет на вработен за да ја убедат другата страна да изврши плаќање
За да ги спречат хакираните вработени да дознаат што се случува, напаѓачите би создале правила на сандачето што автоматски преместувале одредени е-маилови во посебна папка во архивата и ги означувале како прочитани. Во текот на следните неколку дена, напаѓачите периодично се најавуваа за да проверат дали има нови е-маилови.
Извештајот на Microsoft покажува колку е лесно да се измамат вработените во компаниите. Огромен број на е-пошта и оптоварување на работа одат во прилог на хакерите.
MFA е една од најефективните мерки за спречување на преземање сметка. Сепак, не сите MFA се создадени еднакви. Еднократните кодови за автентикација, дури и кога се испраќаат преку СМС, се далеку подобри од ништо, но тие можат да бидат пресретнати.
Најефективните достапни форми на MFA се оние што се во согласност со стандардите за целата индустрија поставени од Алијансата FIDO. Овие типови MFA користат физички безбедносен клуч од компании како Yubico или Feitian или дури и уред со Android или iOS. Автентикацијата може да се направи и со помош на отпечаток од прст или скенирање на лице, а заедничко за сите MFA усогласени со FIDO е отпорност на такви кампањи.