ثبت یک کمپین فیشینگ توسط مایکروسافت

“به نظر می‌رسد این اجراها به یکدیگر مرتبط هستند و با جعل صفحه احراز هویت آنلاین آفیس، کاربران Office 365 را هدف قرار می‌دهند.”

در یک کمپین فیشینگ AiTM، یک عامل تهدید تلاش می‌کند تا کوکی جلسه کاربر را به‌دست آورد – برای سرور وب که کاربر احراز هویت شده است – تا بتواند از کل فرآیند احراز هویت رد شود و از طرف کاربر عمل کند.

مهاجم یک وب سرور را مستقر می‌کند که بسته‌های HTTP را از کاربر بازدیدکننده از سایت فیشینگ به سرور هدفی که مهاجم می‌خواهد جعل هویت کند، پراکسی می‌کند و برعکس. به این ترتیب، سایت فیشینگ از نظر ظاهری با وب سایت اصلی یکسان است. مهاجم همچنین نیازی به ایجاد سایت فیشینگ خود مانند روشی که در کمپین‌های فیشینگ معمولی انجام می‌شود، ندارد. مایکروسافت توضیح داد که URL تنها تفاوت آشکار بین سایت فیشینگ و واقعی است.

هنگامی که مهاجم اعتبارنامه ها را رهگیری می کند و از طرف کاربر احراز هویت می شود، می تواند فعالیت های بعدی مانند جعل در پرداخت را از داخل سازمان انجام دهد.
پرداخت به صورت دستی انجام شده است. مهاجم هر چند ساعت یک بار به ایمیل‌های مربوط به امور مالی دسترسی پیدا می‌کرد و ایمیل اصلی فیشینگ را از صندوق ورودی حذف می‌کرد تا ردپای آنها را پنهان کند.

علاوه بر این، برای دور ماندن از اسکن های امنیتی، مهاجم یک قانون صندوق ورودی ایجاد کرد تا پاسخ‌های آینده را از هدف کلاهبرداری پنهان کند.

درست پس از تنظیم قانون، مهاجم اقدام به پاسخ دادن به رشته‌های ایمیل در حال انجام مربوط به پرداخت‌ها و صورت‌حساب‌ها بین هدف و کارمندان سایر سازمان‌ها کرد. به گفته مایکروسافت ، مهاجم سپس پاسخ‌های خود را از پوشه‌های موارد ارسال شده(Sent) و موارد حذف شده(Deleted) حذف کرد.