Explained: How this phishing campaign discovered by Microsoft can even hijack MFA-protected accounts – Times of India

[ad_1]

बैनर img
रिपोर्ट में यह भी उल्लेख किया गया है कि इन धमकी देने वाले अभिनेताओं ने इस अभियान का उपयोग कर्मचारियों के ई-मेल खातों तक पहुंचने के लिए भी किया है ताकि उन्हें पैसे भेजने के लिए छल किया जा सके। प्रतिनिधि छवि

माइक्रोसॉफ्ट हाल ही में एक बड़े पैमाने की खोज की फ़िशिंग अभियान इसने सितंबर से अब तक लगभग 10,000 संगठनों को लक्षित किया है। इस ऑपरेशन के पीछे हमलावर उन खातों को भी हाईजैक कर सकते हैं जो मल्टी-फैक्टर ऑथेंटिकेशन (एमएफए) उपायों से सुरक्षित हैं। रिपोर्ट में यह भी उल्लेख किया गया है कि इन धमकी देने वाले अभिनेताओं ने इस अभियान का उपयोग कर्मचारियों के ई-मेल खातों तक पहुंचने के लिए भी किया है ताकि उन्हें पैसे भेजने के लिए छल किया जा सके। ArsTechnica की एक रिपोर्ट के अनुसार, Microsoft 365 डिफेंडर रिसर्च टीम और यह माइक्रोसॉफ्ट थ्रेट इंटेलिजेंस सेंटर एक ब्लॉग पोस्ट में ऑपरेशन का विवरण दिया है। यहां हम चर्चा करेंगे कि क्या एमएफए है और यह फ़िशिंग अभियान कैसे कार्य करता है।
मल्टी-फैक्टर ऑथेंटिकेशन क्या है
रिपोर्ट बताती है कि मल्टी-फैक्टर ऑथेंटिकेशन (एमएफए) या टू-फैक्टर ऑथेंटिकेशन (2FA) को अब “खाता सुरक्षा के लिए स्वर्ण मानक” के रूप में जाना जाता है। इस सुरक्षा प्रक्रिया के लिए खाता उपयोगकर्ताओं को अपने पासवर्ड जानने के साथ-साथ “किसी ऐसी चीज़ के माध्यम से अपनी पहचान साबित करने की आवश्यकता होती है, जिसके वे मालिक हैं या जिन्हें वे नियंत्रित करते हैं” जैसे – एक भौतिक सुरक्षा कुंजी, एक फ़िंगरप्रिंट, या एक चेहरा या रेटिना स्कैन। चूंकि यह सुरक्षा सुविधा ऐसे फ़िशिंग अभियानों की जाँच के लिए उपयोग किया जाने वाला एक सामान्य प्रोटोकॉल बन जाता है, इसलिए हमलावरों ने पहले ही इसे बायपास करने का एक तरीका खोज लिया है।
यह फ़िशिंग अभियान कैसे काम करता है
Microsoft ने अपने ब्लॉग पोस्ट को एक ऐसे अभियान का विवरण देने के लिए अपडेट किया है जो “खाता उपयोगकर्ताओं और कार्य सर्वर के बीच एक हमलावर-नियंत्रित प्रॉक्सी साइट” का उपयोग करता है जिसे कर्मचारियों को एक्सेस करना होता है। ब्लॉग के अनुसार, जब भी उपयोगकर्ता अपने पासवर्ड को प्रॉक्सी साइट पर इनपुट करने का प्रयास करते हैं, तो यह उन्हें वास्तविक सर्वर पर भेज देता है। फिर, प्रॉक्सी साइट ने वास्तविक सर्वर के उत्तर को उपयोगकर्ता को वापस भेज दिया। प्रमाणीकरण पूर्ण होने के बाद भेजी गई मूल साइट से हमलावर सत्र कुकी चुरा लेते हैं ताकि उपयोगकर्ताओं को हर नए पृष्ठ पर पुन: प्रमाणित करने की आवश्यकता न पड़े। रिपोर्ट में दावा किया गया है कि ऑपरेशन एक HTML अटैचमेंट के साथ एक फ़िशिंग ईमेल के साथ शुरू हुआ जो प्रॉक्सी सर्वर तक ले गया।
ब्लॉग में कहा गया है, “हमारे अवलोकन से, पहली बार फ़िशिंग साइट में एक समझौता किए गए खाते पर हस्ताक्षर करने के बाद, हमलावर ने चोरी की सत्र कुकी का उपयोग आउटलुक ऑनलाइन (outlook.office.com) को प्रमाणित करने के लिए किया था, कई मामलों में, कुकीज़ में एक एमएफए दावा, जिसका अर्थ है कि भले ही संगठन के पास एमएफए नीति थी, हमलावर ने सत्र कुकी का उपयोग समझौता खाते की ओर से पहुंच प्राप्त करने के लिए किया था।”
कुकी चोरी के बाद, हमलावरों ने कर्मचारी ईमेल खातों में लॉग इन किया और “व्यावसायिक ईमेल समझौता घोटालों” में उपयोग करने के लिए संदेशों की खोज की, जिसका उपयोग उन खातों में बड़ी मात्रा में धन भेजने के लिए किया जा सकता है, जिनके बारे में उनका मानना ​​​​था कि वे “सह-” से संबंधित थे। श्रमिक या व्यावसायिक भागीदार। ” इसके अलावा, इन बुरे अभिनेताओं ने भी उसी ईमेल थ्रेड का उपयोग किया और हैक किए गए कर्मचारी की जाली पहचान का उपयोग दूसरे पक्ष को भुगतान करने के लिए मनाने के लिए किया।
ब्लॉग ने यह भी उल्लेख किया है कि हमलावरों ने कर्मचारियों के लिए समझौता करना मुश्किल बना दिया है इनबॉक्स नियम जो स्वचालित रूप से विशिष्ट ईमेल को एक संग्रह फ़ोल्डर में ले जाते हैं और उन्हें पढ़े गए के रूप में चिह्नित करते हैं। बुरे अभिनेता नए ईमेल खोजने के लिए अगले कुछ दिनों में नियमित रूप से समझौता किए गए खातों में लॉग इन करता रहा।
ब्लॉग ने लिखा, “एक अवसर पर, हमलावर ने एक ही मेलबॉक्स से एक साथ कई धोखाधड़ी के प्रयास किए। हर बार जब हमलावर को एक नया धोखाधड़ी लक्ष्य मिला, तो उन्होंने इन नए लक्ष्यों के संगठन डोमेन को शामिल करने के लिए बनाए गए इनबॉक्स नियम को अपडेट किया।”
कर्मचारी कैसे बनते हैं इन घोटालों का शिकार
ब्लॉग पोस्ट के अनुसार, कर्मचारी आसानी से इस तरह के घोटालों के शिकार हो सकते हैं क्योंकि भारी मात्रा में ईमेल और कार्यभार उपयोगकर्ताओं के लिए किसी संदेश की प्रामाणिकता को जानना मुश्किल बना देता है। अच्छी सुरक्षा स्वच्छता का अभ्यास करने के लिए, अधिकांश उपयोगकर्ता और संगठन एमएफए का उपयोग करते हैं और “घोटाले में कुछ नेत्रहीन तत्व प्रॉक्सी साइट लैंडिंग पृष्ठ में उपयोग किया जाने वाला डोमेन नाम है,” रिपोर्ट का दावा है। हालांकि, “अधिकांश संगठन-विशिष्ट लॉगिन पृष्ठों की अस्पष्टता”, यहां तक ​​​​कि एक संदिग्ध डोमेन नाम भी सस्ता नहीं हो सकता है।
इसके अलावा, माइक्रोसॉफ्ट ने उल्लेख किया है कि “एमएफए को तैनात करना खाता अधिग्रहण को रोकने के सबसे प्रभावी उपायों में से एक नहीं है।” इस बीच, यह ध्यान रखना महत्वपूर्ण है कि सभी एमएफए समान हैं और ब्लॉग बताता है कि एक बार के प्रमाणीकरण कोड (एसएमएस द्वारा भेजे गए) भी कुछ भी नहीं से काफी बेहतर हैं। हालांकि, एक बार का प्रमाणीकरण अभी भी “पाठ संदेश भेजने के लिए उपयोग किए जाने वाले SS7 प्रोटोकॉल के अधिक विदेशी दुरुपयोग के माध्यम से अवरोधन योग्य” होने का जोखिम वहन करता है।
एमएफए के सबसे प्रभावी रूप
रिपोर्ट में उल्लेख किया गया है कि उद्योग-व्यापी FIDO Alliance द्वारा निर्धारित मानकों का पालन करने वाले MFA सिस्टम सबसे प्रभावी हैं। रिपोर्ट के अनुसार, एमएफए के ये रूप एक भौतिक सुरक्षा कुंजी का उपयोग करते हैं जो डोंगल या यहां तक ​​कि एंड्रॉइड या आईओएस डिवाइस के रूप में आ सकती है। ये प्रमाणीकरण फ़िंगरप्रिंट या रेटिना स्कैन का भी उपयोग कर सकते हैं जो “बायोमेट्रिक्स को चोरी होने से बचाने के लिए एंड-यूज़र डिवाइस” को कभी नहीं छोड़ते हैं। रिपोर्ट बताती है कि FIDO-संगत MFA में ऐसे फ़िशिंग अभियानों द्वारा हमला किए जाने की संभावना कम होती है क्योंकि वे उपयोगकर्ताओं को इन कार्यों से बचाने के लिए “बैक-एंड सिस्टम प्रतिरोधी” का उपयोग करते हैं।

सामाजिक मीडिया पर हमारा अनुसरण करें

फेसबुकट्विटरinstagramकू एपीपीयूट्यूब



[ad_2]

Prakash Bansrota
Prakash Bansrotahttps://www.viagracc.com
We Will Provide Online Earnings, Finance, Laptops, Loans, Credit Cards, Education, Health, Lifestyle, Technology, and Internet Information! Please Stay Connected With Us.
RELATED ARTICLES

LEAVE A REPLY

Please enter your comment!
Please enter your name here

- Advertisment -

Featured Article

- Advertisment -

Popular Article