大规模的中间人网络钓鱼攻击

关键要点

根据微软的报告，大约有10000家公司在一项持续数月的中间人攻击AiTM运动中遭受攻击，造成了估计数百万的财务损失。攻击者似乎正在采纳“走大或回家”的概念。这场钓鱼活动的详细描述追溯到至少2021年9月，微软详细说明了复杂的过程图，并描述了这些高效的AiTM攻击如何绕过多重身份验证以达到他们的欺诈目标。

“这一大规模的钓鱼活动利用中间人钓鱼网站窃取密码，劫持用户的登录会话，甚至能跳过身份验证过程，即使用户启用了多重身份验证MFA，”微软网站中的一段摘录写道。

攻击者使用被盗的凭证和会话Cookie访问受影响用户的邮箱，并针对其他目标执行后续的商业电子邮件诈骗BEC。

在AiTM钓鱼攻击中，攻击者在目标用户与用户希望访问的网站之间部署了代理服务器，攻击者冒充该网站。通过这种安排，攻击者能够盗取并截获目标的密码和凭证Cookie，证明他们与网站的会话保持着认证。“由于AiTM钓鱼盗取了会话Cookie，”微软的研究最后得出结论，“即使使用多重身份验证，攻击者也能够代表用户认证进行会话。”

BEC诈骗在2016年至2021年间造成了超过430亿美元的全球财务损失，统计数据来自FBI IC3单位的金融机构报告。

FBI报告显示，从2019年7月至2021年12月，由于BEC诈骗造成的全球财务损失增长了65。

“这种增长部分归因于COVID19疫情期间对正常商业活动的限制，”FBI的公告中提到，“这导致更多的工作场所和个人转向虚拟进行日常业务。”

保罗劳丹斯基Paul Laudanski，Tessian的威胁情报负责人表示，金融服务业尤其是“常常是这些攻击的肥肉目标”。Tessian去年标记了超过200万封恶意电子邮件，金融公司成为“最常被模仿的行业”，占所有恶意电子邮件的19，并占据80的模仿攻击。

劳丹斯基指出，支付和金融行业是“今天更成熟且受监管和审查较多的领域。在一般情况下，支付提供商更有可能有效管理此类别的风险，而与其他市场中的组织相比。”他说，“尽管如此，没有任何控制措施是完美的，总存在一定程度的风险。”

微软发现，2020年的钓鱼攻击数量加倍，依据其2021年数字防御报告。微软预计，中多重身份验证将提供“抵御凭证被盗的额外安全层，且预计更多组织将采纳此措施，尤其是在政府甚至[强制推行](https//wwwwhitehousegov/briefingroom/presidentialactions/2021/05/