Monivaiheisen tunnistautumisen (MFA) ja pilvipalvelujen yleistyminen organisaatioissa on pakottanut kyberrikolliset päivittämään työkalujaan ja taktiikoitaan. Heidän ei enää tarvitse tunkeutua yrityksen sisäiseen verkkoon tai käyttää haittaohjelmia varastaakseen tietoja ja toteuttaakseen petoksia. Riittää, että he saavat pääsyn pilvipalveluihin, kuten Microsoft 365 -sähköpostiin tai MOVEit-tiedostojen tallennukseen, käyttämällä laillisia tilejä.
Varastetut tai väkivalloin murretut tunnistetiedot eivät kuitenkaan enää riitä – MFA on jotenkin ohitettava. Äskettäinen laajamittainen kyberhyökkäyssarja suuria organisaatioita vastaan, joka vaikutti yli 40 000 uhriin, osoittaa, että hyökkääjät ovat sopeutuneet uuteen todellisuuteen. He käyttävät kohdennettuja tietojenkalastelutekniikoita ja välihyökkäystyökaluja laajassa mittakaavassa yritysten kohdistamiseen.
Adversary-in-the-Middle -tekniikan käyttäminen:
- Kohdennettu tietojenkalastelu: Hyökkääjät lähettävät erittäin tarkkoja ja uskottavia tietojenkalasteluviestejä, jotka näyttävät tulevan luotettavista lähteistä.
- Välihyökkäys (Adversary-in-the-Middle): Hyökkääjät käyttävät tätä tekniikkaa ohittaakseen MFA. Kun käyttäjä yrittää kirjautua sisään, hyökkääjä sieppaa istunnon ja kerää kaikki tarvittavat todennustiedot, mukaan lukien MFA-koodit.
- Pääsyn saaminen pilvipalveluihin: Saatuaan tarvittavat todennustiedot hyökkääjät voivat käyttää laillisia tilejä ja saada pääsyn kriittisiin pilvipalveluihin, mikä mahdollistaa tiedon varastamisen ja petosten suorittamisen ilman perinteisiä haittaohjelmia tai sisäisen verkon tunkeutumista.
Lähde:
Kaspersky Blog – What is Adversary-in-the-Middle (AiTM) in Spearphishing Attacks
