攻击者正利用中间人技术绕过微软邮件服务的多因素身份验证

网络安全研究公司 Zscaler 警告称 —— 使用微软电子邮件服务的用户需提高警惕，因为他们刚刚发现了一种新型网络钓鱼活动。调查显示，攻击者正使用 AiTM 中间人技术，来绕过当前的 MFA 多因素身份验证，且企业客户很容易受到这方面的影响。

AiTM 工作原理（图自：Microsoft 官网）

顾名思义，AiTM 技术会将攻击者置于通讯流程的中间节点，以拦截客户端与服务器之间的身份验证过程，从而在交换期间窃取登陆凭证。

换言之，MFA 多因素身份验证信息本身，也会被攻击者给盗用。Zcaler 旗下 ThreatLabz 对本轮网络钓鱼活动展开了分析，并得出了以下几个结论。

（1）首先，使用微软电子邮件服务的企业客户，成为了本轮大规模网络钓鱼活动的主要目标。

（2）其次，问题都源于攻击者向受害者散播的带有恶意链接的电子邮件。

（3）在 Zscaler 发表文章时，攻击仍处于活跃状态。且几乎每天，威胁行为者都会注册新的钓鱼邮件域名。

（4）在此情况下，一旦某位高管的商业电子邮件被此类钓鱼攻击所攻破，后续就会成为在企业内进一步散播的新感染源头。

（5）包括美国、英国、新西兰、澳大利亚在内的许多地区，其金融科技、贷款、保险、能源与制造等关键垂直行业，都成为了本轮攻击的重点目标。

（6）为实现攻击目的，幕后黑手使用了能够绕过 MFA 多因素身份验证、基于代理的自定义网络钓鱼工具包。

（7）攻击者擅于利用各种伪装和浏览器指纹识别技术，以绕过 URL 自动分析系统。

（8）结合诸多 URL 重定向方法，以规避企业的电子邮件 URL 分析解决方案。

（9）滥用 CodeSandbox 和 Glitch 等合法的线上代码编辑服务，以延长攻击活动的“质保期限”。

（10）Zscaler 还留意到，攻击者注册的某些域名，明显山寨了美国联邦信用合作社的名称（存在故意的近似拼写错误）。

最后，有关本轮 AiTM 攻击的更多细节，还请移步至 Zscaler 官方博客查看（传送门）。