微软披露大规模钓鱼活动，即使启用多因素验证仍可能受害

近几年，各家科技公司不断在倡导用户开启多因素验证提高个人账号的安全性，不过多因素账号只是提高了侵入难度，并不代表它是个可以让你百毒不侵的铁布衫。近日，微软披露了全球性的大规模网络钓鱼攻击，即便启用了多因素身份认证保护措施，该钓鱼活动依然可以劫持用户账户。
微软披露大规模钓鱼活动，即使启用多因素验证仍可能受害

微软披露大规模钓鱼活动，即使启用多因素验证仍可能受害

多因素验证又称为双重身份验证、MFA或是2FA，是目前主流的帐户安全标准，除了传统的密码外，还要求用户以自己拥有或控制的东西，例如实体安全密钥、指纹、脸部辨识或视网膜扫描等形式来辅助验证身分。 MFA 技术的广泛使用为账户安全多添了一个门槛，提高了黑客侵入用户帐号的难度，不过现在攻击者已经找到方法进行反击。
微软披露大规模钓鱼活动，即使启用多因素验证仍可能受害

微软观察到一个活动，发现从去年9月以来这项活动就已经针对超过10，000个组织发起攻击，透过访问受害者电子邮件账号诱骗员工向黑客汇款。这项活动在帐户用户与尝试登入的工作服务器间插入一个由攻击者控制的代理网站，当用户向代理网站输入密码时，代理网站会先将它发送到真实服务器-然后将服务器的回应转发回给用户。待身份验证完成后，攻击者会窃取合法网站对话 Cookie，因此用户无须在访问每一个新网页时重新验证身份。而这一切活动的从一封带有指向代理服务器 HTML 附件的网络钓鱼邮件开始。
微软披露大规模钓鱼活动，即使启用多因素验证仍可能受害
▲带有 HTML 文件附件的网络钓鱼电子邮件范例

在微软的一篇官方博客文章中，Microsoft 365 Defender 研究团队的成员和微软威胁情报中心提到，根据观察在首次登录钓鱼网站的被盗帐户后，攻击者使用被盗的对话 Cookie 对 Outlook online 进行身份验证。在多种情况下，Cookie都具备有 MFA 声明，这代表即使组织采行 MFA 策略，攻击者也会利用对话 Cookie 代替受感染的账户获取访问权限限。
微软披露大规模钓鱼活动，即使启用多因素验证仍可能受害
▲ AiTM网络钓鱼网站拦截身份验证过程。

在 Cookie 被盗后的几天内，威胁行为者访问员工的电子邮件账户并寻找用于商业电子邮件泄露诈骗的信息，这会欺骗目标将大笔资金汇入他们认为属于同事或是业务合作伙伴的帐户。攻击者冒用这些电子邮件和被骇员工的身份来说服对方付款。为了防止被骇员工发现，威胁者建立了收件箱规则，自动将特定邮件转移到封存文件夹中并将其标注为已读，且在接下来数日里，攻击者会定期登入以检查他们所创建的邮件规则是否正常运作。
微软披露大规模钓鱼活动，即使启用多因素验证仍可能受害
▲ AiTM网络钓鱼活动和后续 BEC 概述。

该博客文章里面还表示，由于大量的电子邮件和工作量通常让用户很难确认信息何时为真，所以员工很容易陷入此种骗局。整个骗局中为数不多的可疑视觉元素之一就是代理网站登录页面中所使用的域名。基本上启用 MFA 就表示用户或组织在网络安全方面有较高的认知，尽管如此，鉴于大多数组织特定登录页面的不透明性，即是粗略的域名也可能会让人不察中招。为了抵御此类攻击，微软建议使用具备基于证书的身份验证和 FIDO v2.0 支持的网络钓鱼（phish-resistant） MFA 来实现更高的防护能力。