Por seis anos, uma campanha de phishing permaneceu despercebida, cujas metas eram usuários do serviço obsoleto da entrada unificada da Microsoft: mais de 150 organizações nos campos de educação, saúde, administração pública e esfera tecnológica. Os invasores não confiam na vulnerabilidade técnica dos sistemas, mas nos métodos de engenharia social.
Fonte da imagem: BoliviaInteligente / unsplash.com
Os cibercriminosos enviam cartas fisching para vítimas em potencial supostamente do Serviço de Segurança. Ao se apegar ao link dessa carta, o usuário do sistema corporativo se enquadra na página de inscrição falsa no Active Directory Federal Services (ADFS), sobre o qual apresenta seus dados contábeis e código de autenticação multifatorial. O esquema trabalha quase inalterado desde 2018, disseram eles na companhia de segurança anormal; Não há ameaça concreta – a campanha está associada a vários grupos de motivação financeira de criminosos cibernéticos, que podem vender contas roubadas.
A maioria das vítimas está na América do Norte, Europa e Austrália. 52,8 %dos ataques chegaram a organizações educacionais, 14,8 %aos cuidados de saúde, 12,5 %para instituições estatais. A Microsoft pediu aos clientes que abandonem o serviço ADFS em favor de um ID da ENTRA mais confiável, mas por razões financeiras e técnicas, isso nem sempre é possível: sistemas desatualizados compatíveis apenas com ADFs, continuam sendo usados em muitas organizações e a atualização para A ENTRA exigirá uma implantação abrangente de novas ferramentas.
No entanto, ataques de phishing semelhantes são possíveis com a ENTRA, observada em segurança anormal. Uma maneira mais eficaz de proteger, segundo especialistas, é uma redução na validade dos tokens e códigos de autenticação multifatorial – isso limitará a possibilidade de usar dados roubados para atacantes. O bloqueio de domínios bem conhecidos associados à campanha – os cibercriminosos confiam na mesma infraestrutura por anos.