फ़िशिंग अभियान कॉर्पोरेट लॉगिन पेजों की पूरी तरह नकल करने के लिए वेब प्रॉक्सी का उपयोग कर रहे हैं जो हमलावरों को बहु-कारक प्रमाणीकरण से बचने में मदद कर सकते हैं।
माइक्रोसॉफ्ट ने चेतावनी दी है कि "एडवर्सरी-इन-द-मिडिल" या एआईटीएम वेबसाइटों का उपयोग करके बड़े पैमाने पर फ़िशिंग अभियान ने सितंबर 2021 से 10,000 से अधिक संगठनों को प्रभावित किया है।
एआईटीएम बुरी खबर लगती है क्योंकि फ़िशिंग साइटें साइटों पर प्रमाणीकरण को छोड़ सकती हैं, भले ही उपयोगकर्ता ने मल्टी-फैक्टर प्रमाणीकरण (एमएफए) सक्षम किया हो। हमले में उपयोगकर्ता के साइन-इन सत्र को हाईजैक करना और बिजनेस ईमेल समझौता (बीईसी) धोखाधड़ी के लिए पीड़ितों के ईमेल तक पहुंचने के लिए चुराए गए क्रेडेंशियल्स और सत्र कुकीज़ का उपयोग करना शामिल है।
गोपनीयता
- इंटरनेट खोज परिणामों से खुद को कैसे हटाएं और ऑनलाइन अपनी पहचान कैसे छिपाएं
- गोपनीयता के लिए सर्वोत्तम ब्राउज़र
- सैमसंग का स्मार्टफोन 'रिपेयर मोड' तकनीशियनों को आपकी तस्वीरें देखने से रोकता है
- क्या पीरियड ट्रैकिंग ऐप्स सुरक्षित हैं?
एमएफए उन प्रमुख तरीकों में से एक है जिससे संगठन फ़िशिंग और क्रेडेंशियल चोरी के हमलों से खुद को बचा सकते हैं। बिडेन प्रशासन
संघीय एजेंसियों के लिए एमएफए अनिवार्य बना दिया गया जबकि अन्य संगठन, जैसे पायथन सॉफ्टवेयर फाउंडेशन, महत्वपूर्ण परियोजनाओं के लिए एमएफए को न्यूनतम आवश्यकता बना रहा है. माइक्रोसॉफ्ट भी है संगठनों के बीच एमएफए को आसान बनाने की कोशिश की जा रही है आपूर्ति श्रृंखला हमलों को रोकने के लिए।देखना: ये हैकर्स ध्यान भटकाने के लिए - अपनी साइबर जासूसी को छुपाने के लिए रैंसमवेयर फैला रहे हैं
एआईटीएम फ़िशिंग हमलों में लक्ष्य और उस वेबसाइट के बीच एक प्रॉक्सी सर्वर तैनात करना शामिल होता है जिस पर पीड़ित जाना चाहता है। वह साइट हमलावर द्वारा प्रतिरूपित की गई है। एमएफए टूटा नहीं है, लेकिन चूंकि ब्राउज़र सत्र कुकी चोरी हो गई है, इससे कोई फर्क नहीं पड़ता कि उपयोगकर्ता ने किसी साइट में कैसे लॉग इन किया है - चोरी की गई कुकी के कारण हमलावर अभी भी प्रमाणित हो जाता है।
"प्रत्येक आधुनिक वेब सेवा सफल प्रमाणीकरण के बाद उपयोगकर्ता के साथ एक सत्र लागू करती है ताकि उपयोगकर्ता को उनके द्वारा देखे जाने वाले प्रत्येक नए पृष्ठ पर प्रमाणित करने की आवश्यकता न हो," माइक्रोसॉफ्ट समझाता है.
"यह सत्र कार्यक्षमता प्रारंभिक प्रमाणीकरण के बाद प्रमाणीकरण सेवा द्वारा प्रदान की गई सत्र कुकी के माध्यम से कार्यान्वित की जाती है। सत्र कुकी वेब सर्वर के लिए प्रमाण है कि उपयोगकर्ता प्रमाणित हो चुका है और वेबसाइट पर उसका सत्र चल रहा है। एआईटीएम फ़िशिंग में, एक हमलावर लक्ष्य उपयोगकर्ता की सत्र कुकी प्राप्त करने का प्रयास करता है ताकि वे पूरी प्रमाणीकरण प्रक्रिया को छोड़ सकें और बाद की ओर से कार्य कर सकें।"
Microsoft द्वारा हाइलाइट किए गए हमलों में, फ़िशिंग साइट ने लक्ष्य को प्रॉक्सी किया Azure सक्रिय निर्देशिका (Azure AD) साइन-इन पृष्ठ।
एक बार जब कोई पीड़ित अपनी साख दर्ज करता है और प्रमाणित करता है, तो उन्हें वैध पृष्ठ पर पुनः निर्देशित किया जाता है। लेकिन इस प्रक्रिया के दौरान, हमलावर क्रेडेंशियल्स को रोकता है और है भी उपयोगकर्ता की ओर से प्रमाणित.
जब उपयोगकर्ता फ़िशिंग साइट पर जाते हैं तो हमलावर का वेब सर्वर उनसे HTTP पैकेट कैप्चर करता है और उसे उस लक्ष्य सर्वर पर भेजता है जिसे हमलावर प्रतिरूपित कर रहा है।
जैसा कि Microsoft ने आरेख में विवरण दिया है, फ़िशिंग पृष्ठ में दो अलग-अलग ट्रांसपोर्ट लेयर सुरक्षा (TLS) सत्र हैं: पहला सत्र लक्षित व्यक्ति के साथ, और दूसरा सत्र उस वेबसाइट के साथ जिस तक लक्ष्य पहुंचना चाहता है।
"इन सत्रों का मतलब है कि फ़िशिंग पेज व्यावहारिक रूप से एक AiTM एजेंट के रूप में कार्य करता है, जो पूरी चीज़ को इंटरसेप्ट करता है प्रमाणीकरण प्रक्रिया और HTTP अनुरोधों जैसे पासवर्ड से मूल्यवान डेटा निकालना और, अधिक महत्वपूर्ण बात, सत्र कुकीज़. एक बार जब हमलावर सत्र कुकी प्राप्त कर लेता है, तो वे प्रमाणीकरण प्रक्रिया को छोड़ने के लिए इसे अपने ब्राउज़र में इंजेक्ट कर सकते हैं, भले ही लक्ष्य का एमएफए सक्षम हो, "माइक्रोसॉफ्ट नोट करता है।
देखना: ये कल के साइबर सुरक्षा खतरे हैं जिनके बारे में आपको आज सोचना चाहिए
माइक्रोसॉफ्ट ने एक अभियान देखा जहां हमलावरों ने एक HTML फ़ाइल अनुलग्नक के साथ ईमेल भेजकर उन्हें एक ध्वनि संदेश खोलने का निर्देश दिया। हमले की यह शैली, विशिंग या वॉयस फ़िशिंग का एक रूप, बढ़ रहा है और लिंक्डइन और व्हाट्सएप रिकॉर्ड किए गए संदेशों के साथ उपयोग किया जाता है।
संलग्न HTML फ़ाइल खोलने के बाद, फ़ाइल उपयोगकर्ता के ब्राउज़र में लोड होती है और एक पृष्ठ प्रदर्शित करती है जो उन्हें सूचित करती है कि ध्वनि संदेश डाउनलोड किया जा रहा है। कोई एमपी3 फ़ाइल डाउनलोड नहीं की जा रही है, लेकिन हमलावरों ने फ़ाइल में एक डाउनलोड प्रगति बार को हार्डकोड किया है ताकि यह प्रतीत हो सके कि कोई फ़ाइल डाउनलोड की जा रही है।
जबकि AiTM हमलों का पता लगाना पीड़ितों के लिए कठिन है, Microsoft का कहना है कि ग्राहकों को ऐसा करना चाहिए उन्हें कम करने के लिए Azure AD में सशर्त पहुंच कॉन्फ़िगर करें और फ़िशिंग खतरों के लिए आने वाली ईमेल और वेबसाइटों की निगरानी करें।
सुरक्षा
- अत्यधिक सुरक्षित दूरस्थ श्रमिकों की 8 आदतें
- अपने फोन से स्पाइवेयर कैसे ढूंढें और हटाएं
- सर्वोत्तम वीपीएन सेवाएँ: शीर्ष 5 की तुलना कैसे की जाती है?
- कैसे पता करें कि आप डेटा उल्लंघन में शामिल हैं - और आगे क्या करें