微软揭露锁定Office 365用户且可绕过两步验证的大规模钓鱼攻击

　　微软透露，从2021年9月迄今，至少1万个组织成为中间人(Adversary-in-The-Middle，AiTM)钓鱼攻击的目标，且黑客主要锁定Office 365用户。由于黑客不仅窃取了用户的密码，也挟持了用户的登陆期间，因而也能绕过两步验证(Multi-Factor Authentication，MFA)机制。

　　黑客先是寄送了钓鱼邮件，将用户导至AiTM钓鱼页面，进而窃取用户的凭证与期间Cookie，随之黑客即利用所取得的凭证及登陆期间权限，以受害者的邮件帐号展开商业电子邮件(BEC)诈骗。

　　微软描述了AiTM钓鱼活动的细节，指出黑客在用户与所要造访的目标网站之间部署了一个代理伺服器(钓鱼网站)，当黑客以钓鱼邮件诱导用户造访目标网站时，代理伺服器便充当中间的桥梁，使得该代理伺服器得以取得用户所输入的密码，以及用户与目标网站之间建立的登陆期间Cookie。

　　除了网址之外，该钓鱼网站几乎与目标网站一模一样，而让用户难以察觉。微软强调，此攻击无关用户所采用的登陆机制，亦非MFA机制的安全漏洞，仅仅是因为黑客挟持了用户的登陆期间，而能以用户的身分运作。

　　此外，这些钓鱼活动显然是锁定Office 365用户，因为黑客所打造的冒牌网站就是伪装成Office的线上认证页面。

　　根据微软的分析，最快的攻击行动在盗走凭证及期间Cookie的5分钟之后，便展开了BEC诈骗。

　　微软建议组织可启用条件式存取政策，部署更先进的防钓鱼解决方案，或是持续侦测可疑与异常行为，或使用Microsoft 365 Defender来对抗AiTM钓鱼攻击。