Code of conduct phishing
A Microsoft kutatása egy kifinomult, többfázisú phishing kampányt mutat be, amely magatartási kódex témájú csalikra épül, és végül AiTM alapú token-lopáshoz vezet.
A támadás első lépése hitelesnek tűnő e-mailek küldése, gyakran legitim e-mail szolgáltatásokon keresztül, amelyek teljesen autentikáltak, így megkerülik a hagyományos szűrőket. A pszichológiai megtévesztés tipikusan szabályzati vagy megfelelőségi dokumentumra hivatkozik, ami növeli a felhasználói interakció esélyét.
A felhasználó nem közvetlenül egy hamis oldalra jut, hanem egy látszólag legitim bejelentkezési folyamatba, amely valójában egy támadói infrastruktúrán keresztül proxizott hitelesítési folyamat. Ez az AiTM modell lehetővé teszi, hogy a támadó valós időben közvetítse a hitelesítési adatokat a legitim szolgáltatás felé.
A kritikus pont nem a jelszó megszerzése, hanem az autentikáció után kiadott session tokenek elfogása. Az AiTM proxy a teljes bejelentkezési folyamatot lehallgatja, és a sikeres hitelesítés után megszerzi azokat a tokeneket, amelyek azonnali hozzáférést biztosítanak a fiókhoz. Ez a megközelítés képes megkerülni a nem phishing-rezisztens MFA megoldásokat, mivel a felhasználó valódi környezetben hajtja végre a többfaktoros hitelesítést.
A támadás hatása túlmutat az egyedi fiókkompromittáción. A megszerzett hozzáférést a támadók további műveletekhez használják, például belső phishing kampányok indítására vagy üzleti e-mail kompromittáció (BEC) láncok kialakítására, ahol a támadás már legitim felhasználói identitásból indul.
A fókusz a jelszavakról a token-alapú hitelesítés visszaélésére helyeződik át. Ebben a modellben a támadó nem feltöri a rendszert, hanem a legitim hitelesítési folyamatot használja fel, így a védekezésben a hagyományos credential-védelem önmagában már nem elegendő.
