ضبط یک کمپین فیشینگ توسط مایکروسافت


به نظر می‌رسد این آسیب‌پذیری‌ها مرتبط هستند و کاربران آفیس ۳۶۵ را با جعل صفحه احراز هویت آنلاین آفیس هدف قرار می‌دهند.»

در یک کمپین فیشینگ AiTM، عامل تهدید تلاش می‌کند تا کوکی جلسه کاربر را به دست آورد – سرور وب که توسط کاربر احراز هویت شده است – تا بتواند کل فرآیند احراز هویت را دور بزند و از طرف کاربر عمل کند.

مهاجم یک وب سرور را مستقر می کند که بسته های HTTP را از کاربر بازدید کننده از سایت فیشینگ به سرور هدفی که مهاجم سعی در جعل هویت آن دارد، پراکسی می کند و بالعکس. به این ترتیب، وب سایت فیشینگ مشابه وب سایت اصلی به نظر می رسد. مهاجم همچنین نیازی به ایجاد سایت فیشینگ خود مانند کمپین های فیشینگ سنتی ندارد. مایکروسافت توضیح داد که URL تنها تفاوت آشکار بین یک سایت فیشینگ و یک سایت واقعی است.

هنگامی که مهاجم اعتبار و احراز هویت را از طرف کاربر رهگیری می کند، می تواند فعالیت های دیگری مانند تقلب در پرداخت را از داخل سازمان انجام دهد.
به صورت دستی پرداخت می شود. مهاجم هر چند ساعت یک بار به ایمیل های مالی دسترسی داشت و ایمیل اصلی فیشینگ را از صندوق ورودی خود حذف می کرد تا ردیابی های خود را پوشش دهد.

علاوه بر این، برای جلوگیری از بررسی های امنیتی، مهاجم یک قانون صندوق ورودی ایجاد کرد تا پاسخ های آینده را از هدف کلاهبرداری پنهان کند.

بلافاصله پس از تنظیم قانون، مهاجم اقدام به پاسخ دادن به رشته‌های ایمیل مداوم مربوط به پرداخت‌ها و صورت‌حساب‌ها بین هدف و کارمندان سایر سازمان‌ها کرد. به گفته مایکروسافت، مهاجم سپس پاسخ های خود را از پوشه های ارسال شده و حذف شده حذف کرده است.