邮件钓鱼的新杀招：多阶段中间对手攻击

在微软最近观察到的一次BEC（商业电子邮件欺诈）攻击中，攻击者利用企业之间的合作伙伴关系连环攻击了四家金融企业（从一家供应商渗透到目标金融企业）。微软研究人员发现攻击者还采用了多阶段中间对手网络钓鱼攻击（AiTM），一种常见的绕过多因素身份验证（MFA）的技术。

AiTM网络钓鱼攻击只需要用户在登录会话期间手动输入一次MFA验证码（无论是来自短信、电子邮件或者手机APP）即可完成MFA的绕过。

目前AiTM网络钓鱼攻击已经有大量开源工具包可用，其基本原理是监控受害者与服务验证之间的流量，在身份验证完成时捕获服务返回的会话cookie，用于访问受害者的账户。

执行AiTM最常见的方法之一是使用反向代理，将受害者重定向到攻击者控制的网站，后者代理目标网站的真实登录页面和所有后继内容交互。

用间接代理绕过MFA

在微软观察到的新攻击案例中，攻击者使用了自己开发的自定义网络钓鱼工具包，该工具包使用间接代理方法：攻击者设置的网络钓鱼页面不提供（代理）来自真实登录页面的任何内容，而是完全受攻击者控制的钓鱼页面。

当受害者与网络钓鱼页面交互时，攻击者会使用受害者（登录钓鱼页面时）提供的凭据启动与真实网站的登录会话，然后使用虚假提示向受害者索取MFA代码。如果受害者提供了MFA代码，攻击者会将其用于自己的登录会话，并直接获得会话cookie。然后受害者被重定向到一个假页面。这更符合传统的钓鱼攻击方法。

微软研究人员表示：“在这种采用间接代理方式的AitM攻击中，由于钓鱼网站是由攻击者设置的，因此他们可以根据场景更有效地控制修改显示的内容。”“此外，由于网络钓鱼基础设施由攻击者控制，他们可以灵活地创建多个服务器来逃避检测。与典型的AitM攻击不同，目标和实际网站之间没有代理HTTP数据包。”

一旦攻击者成功入侵受害者的账户，就会生成一个新的访问代码以延长他们的访问时间，然后继续向该账户添加一种新的MFA身份验证方法——一种使用带有伊朗号码的SMS服务的方法。然后，攻击者创建了一个电子邮件收件箱过滤规则，将所有收到的电子邮件移至存档文件夹并将它们标记为已读（用于监控受害者的电子邮件）。

杀伤力堪比软件供应链攻击

在入侵供应商的电子邮件帐户后，攻击者向该供应商的合作企业发送了1.6万封网络钓鱼电子邮件，收件人同样被重定向到同一网络钓鱼页面。

与软件供应链攻击一样，这种多阶段AitM网络钓鱼和BEC的攻击组合可呈指数级增长，并且可以深入到信任链的下游。根据美国联邦调查局互联网犯罪投诉中心(IC3)6月9日的报告，BEC诈骗造成的损失在2021年12月至2022年12月期间增长了17%。BEC攻击的目标通常是诱骗收件人电汇转账，泄露个人隐私和财务信息或转移加密货币。过去10年，IC3在国际上记录了27.8万起BEC事件，损失超过500亿美元。

微软研究人员表示：“这种使用间接代理的AitM攻击是攻击者为了绕过传统邮件安全解决方案不断开发更为复杂的网络钓鱼TTP的一个最新例证。因此，主动寻找并快速响应威胁成为企业网络安全防御的一个重点工作。”

缓解措施

AiTM攻击的缓解措施包括使用AitM技术无法拦截的MFA方法，例如使用FIDO 2密钥和基于证书的身份验证的方法。企业还可以实施条件访问策略，使用额外的用户或设备身份信号（例如IP位置或设备状态）来评估登录请求。最后，Microsoft还建议实施持续访问评估。