Агентство з кібербезпеки і безпеки інфраструктури США (CISA) заявило, що кіберзлочинці успішно проходять протоколи аутентифікації з багатофакторної аутентифікації (MFA) з метою компрометації облікових записів деяких хмарних служб.
В офіційній заяві агентства сказано наступне: «CISA своєму розпорядженні достовірну інформацію про те, що недавно були проведені успішні хакерські атаки на хмарні сервіси різних організацій США. Кіберзлочинці, що брали участь в атаках, користувалися різними прийомами і тактиками, в тому числі фішингом, спробами входу в систему за методом грубої сили, атаками типу «pass-the-cookie» і багатьма іншими. Це дозволяло їм знайти слабкі місця в системах безпеки хмарних сервісів організацій-жертв ».
У CISA відзначають, що кіберзлочинці давно навчилися отримувати доступ до деяких хмарним активів жертв за допомогою атак грубої сили, але часто хакери терпіли невдачу через неможливість вгадати правильні облікові дані або через включеної у жертви аутентифікації MFA.
Але як мінімум в одному недавньому інциденті безпеки хакери змогли успішно увійти в обліковий запис користувача навіть при наявності включеної багатофакторної аутентифікації (MFA).
У CISA припускають, що хакерам вдалося «перемогти протоколи аутентифікації MFA в рамках атаки« pass-the-cookie ». Під час такої кібератаки хакери захоплюють вже аутентіфіцированний сеанс, використовуючи вкрадені сеансу файли cookie для авторизації в онлайн-сервісах і веб-додатках.
Агентство з кібербезпеки і безпеки інфраструктури також зареєструвало факти використання кіберзлочинцями початкового доступу, який був отриманий після фішингу облікових даних співробітників, для фішингу абсолютно інших облікових призначених для користувача записів в тій же організації.
При інших кібератаки експертами CISA було помічено, що хакери змінювали або налаштовували права пересилання email-листів і правила пошуку для автоматичного збору конфіденційних даних і фінансової інформації з скомпрометованих облікових записів поштових сервісів.
«Крім зміни наявних правил електронної пошти для користувачів, кіберзлочинці також створювали нові правила для поштових скриньок, через що відбувалося автоматичне перенаправлення отриманих користувачем листів в канали Really Simple Syndication (RSS) інших реальних користувачів. Це було зроблено, щоб жертви не бачили ніяких попереджень про шкідливої активності », - резюмували в CISA.
ФБР раніше вже попереджало організації США про те, що хакери зловживають правилами автоматичної переадресації в веб-клієнтів електронної пошти в кібератаки компрометації ділової електронної пошти (BEC).
Більше цікавого матеріалу на cisoclub.ru. Підписуйтесь на нас: Facebook | VK | Twitter | Instagram | Telegram | дзен | Мессенджер | ICQ New | YouTube | Pulse.