
警告:薪資劫持攻擊正針對加拿大員工進行
微軟警告一個新的犯罪威脅行為者,稱為「Storm-2755」,正針對加拿大用戶發動薪資盜竊攻擊。這些攻擊使用社交工程手法來入侵員工賬戶,並將薪資支付轉移到攻擊者控制的銀行賬戶。
微軟表示:「在觀察到的攻擊行動中,Storm-2755 可能透過 SEO 竄改或惡意廣告獲取初始訪問,將攻擊者控制的網域 bluegraintours[.]com 排名在‘Office 365’等一般查詢的搜尋結果最上方,甚至一些常見拼寫錯誤如‘Office 265’。」微軟補充,「根據DART收到的資料,點擊這些連結的無知用戶會被導向一個惡意的 Microsoft 365 登入頁面,設計成類似合法的登入流程,當用戶輸入自己的憑證時,會導致令牌和憑證被竊取。」值得注意的是,攻擊者使用了中間人攻擊(AiTM)技術來繞過較不安全的多因素身份驗證方法。
微軟指出:「這種活動符合 AiTM 攻擊的特徵—這是傳統憑證網路釣魚技術的一種演變—威脅行為者將惡意基礎設施插入受害者和合法身份驗證服務之間。AiTM 框架不僅僅收集使用者名稱和密碼,而是在真實時間中代理整個身份驗證流程,捕獲會話cookies和在成功身份驗證後發出的 OAuth 存取令牌。由於這些令牌代表的是完全驗證的會話,威脅行為者可以重複使用它們來存取 Microsoft 服務,而不會被提示輸入憑證或多因素身份驗證,實際上繞過了未設計為抵禦釣魚的傳統 MFA 防護;像 FIDO2/WebAuthN 這樣的抗釣魚方法則旨在減輕此一風險。」
一旦員工賬戶被入侵,攻擊者會欺騙人力資源部門的工作人員更改該員工的支付資訊。
微軟表示:「所有受影響用戶的電子郵件標題一致,均為‘關於直接存款的問題’,目的是利用社交工程手法讓人力資源或財務人員為 Storm-2755 進行手動更改薪資指示,省去更多的親自操作。」
KnowBe4 使您的工作團隊每天都能做出更聰明的安全決策。全球有超過 65,000 家組織信任 KnowBe4 平台,以強化其安全文化,並降低人為風險。
文章來源: Alert: Payroll-Hijacking Attacks Are Targeting Canadian Employees


