Hackerek hamis ADFS bejelentkező oldalak segítségével lopnak személyes adatokat

Egy globális adathalász kampány zajlik, amely a Microsoft régi hitelesítési rendszerét, az Active Directory Federation Services (ADFS)-t használja ki felhasználói adatok ellopására és a többfaktoros hitelesítés (MFA) megkerülésére, több mint 150 szervezetet célba véve. Az Abnormal Security kutatása szerint a támadók kifinomult technikákat alkalmaznak, például hamis ADFS bejelentkezési oldalakkal csapják be az áldozatokat. Az adathalász e-mailek hivatalos értesítéseknek tűnnek, sürgető hangnemet használnak, és hiteles márkajelzéseket tartalmaznak. A támadók az URL-ek elhomályosításával és rövidítésével is növelik a megtévesztés hatékonyságát, valamint az áldozatok MFA beállításaihoz igazítják a hamis oldalak működését.

A sikeres adathalászat során a támadók megszerzik a felhasználói hitelesítő adatokat és a másodlagos azonosítási faktorokat, például SMS-kódokat vagy push értesítéseket, majd ezeket felhasználva belépnek a fiókokba, gyakran VPN-en keresztül rejtve tartózkodási helyüket. Az átvett fiókokból belső felderítést végeznek, e-mail szűrőszabályokat állítanak be, és oldalirányú adathalász támadásokat indítanak, kihasználva a szervezeten belüli bizalmi kapcsolatokat. A támadás főként az Egyesült Államokra összpontosul, de Kanadában, Ausztráliában és Európában is észleltek incidenseket. A szakértők szerint a támadók azt használják ki, hogy sok szervezet még nem állt át a Microsoft modern Entra platformjára, ezért sürgetik az átállást és a rétegezett biztonsági intézkedések bevezetését.

(forrás)