Μια εκστρατεία ηλεκτρονικού “phishing”, στοχεύει τις υπηρεσίες ομοσπονδίας του Active Directory της Microsoft (ADFS) σε οργανισμούς, χρησιμοποιώντας ψεύτικες σελίδες σύνδεσης. Στόχος της επίθεσης είναι η υποκλοπή διαπιστευτηρίων και η παράκαμψη των μέτρων προστασίας πολλαπλής επαλήθευσης ταυτότητας (MFA).
Δείτε επίσης: Ελαττώματα στο λογισμικό Remote Access SimpleHelp επιτρέπουν παραβιάσεις
Σύμφωνα με την Abnormal Security, η οποία ανακάλυψε αυτή την εκστρατεία, οι κύριοι στόχοι περιλαμβάνουν τον τομέα της εκπαίδευσης, την υγειονομική περίθαλψη και κυβερνητικούς οργανισμούς. Η επίθεση φέρεται να έχει στοχεύσει τουλάχιστον 150 διαφορετικούς φορείς.
Οι επιθέσεις αυτές αποσκοπούν στην απόκτηση πρόσβασης σε εταιρικούς λογαριασμούς email, με στόχο την αποστολή μηνυμάτων σε επιπλέον θύματα εντός του οργανισμού ή την εκτέλεση οικονομικά παρακινούμενων επιθέσεων, όπως το business email compromise (BEC). Σε τέτοιες περιπτώσεις, οι πληρωμές εκτρέπονται προς τους λογαριασμούς των κυβερνοεγκληματιών.
Οι υπηρεσίες Microsoft Active Directory Federation Services (ADFS) αποτελούν μία προηγμένη λύση ελέγχου ταυτότητας, σχεδιασμένη να διευκολύνει τους χρήστες. Με μία μόνο σύνδεση, οι χρήστες αποκτούν πρόσβαση σε πολλαπλές εφαρμογές και υπηρεσίες, εξαλείφοντας την ανάγκη για επανειλημμένη εισαγωγή διαπιστευτηρίων.
Συνήθως αξιοποιείται από μεγάλους οργανισμούς για την παροχή single sign-on (SSO), διευκολύνοντας την πρόσβαση τόσο σε εσωτερικές εφαρμογές όσο και σε εφαρμογές που φιλοξενούνται στο cloud.
Δείτε ακόμα: PowerSchool: Παραβίαση επέτρεψε κλοπή δεδομένων μαθητών – δασκάλων
Οι εισβολείς στέλνουν email σε στόχους που υποδύονται την ομάδα IT της εταιρείας τους, ζητώντας τους να συνδεθούν για να ενημερώσουν τις ρυθμίσεις ασφαλείας τους ή να αποδεχτούν νέες πολιτικές.
Κάνοντας κλικ στο ενσωματωμένο κουμπί τα θύματα μεταφέρονται σε έναν ιστότοπο phishing που μοιάζει ακριβώς με την πραγματική σελίδα σύνδεσης Microsoft ADFS του οργανισμού τους.
Η σελίδα phishing ζητά από το θύμα να εισάγει το όνομα χρήστη, τον κωδικό πρόσβασής του και τον κωδικό MFA ή το εξαπατά για να εγκρίνει την ειδοποίηση push. Μόλις το θύμα παρέχει όλες τις λεπτομέρειες, ανακατευθύνεται στη σελίδα νόμιμης σύνδεσης για να μειώσει την υποψία και να φαίνεται σαν να έχει ολοκληρωθεί επιτυχώς η διαδικασία.
Εν τω μεταξύ, οι εισβολείς αξιοποιούν αμέσως τις κλεμμένες πληροφορίες για να συνδεθούν στον λογαριασμό του θύματος, να κλέψουν τυχόν πολύτιμα δεδομένα, να δημιουργήσουν νέους κανόνες φίλτρου email και να επιχειρήσουν πλευρικό ηλεκτρονικό phishing.
Η Abnormal λέει ότι οι εισβολείς σε αυτήν την καμπάνια χρησιμοποίησαν το Private Internet Access VPN για να κρύψουν την τοποθεσία τους και να εκχωρήσουν μια διεύθυνση IP με καλύτερη εγγύτητα στον οργανισμό.
Δείτε επίσης: Η Cisco επιβεβαιώνει και δεύτερη διαρροή δεδομένων
Η κλοπή διαπιστευτηρίων, γνωστή και ως συλλογή διαπιστευτηρίων, είναι μια απειλή για την ασφάλεια στον κυβερνοχώρο όπου οι εισβολείς λαμβάνουν ευαίσθητες πληροφορίες σύνδεσης, όπως ονόματα χρήστη και κωδικούς πρόσβασης, συχνά μέσω phishing, κακόβουλου λογισμικού ή τακτικών social engineering. Μόλις αποκτηθούν, αυτά τα διαπιστευτήρια μπορούν να χρησιμοποιηθούν για την απόκτηση μη εξουσιοδοτημένης πρόσβασης σε συστήματα, την κλοπή δεδομένων ή την πραγματοποίηση περαιτέρω κακόβουλων δραστηριοτήτων. Η προστασία από κλοπή διαπιστευτηρίων περιλαμβάνει τη χρήση ισχυρών, μοναδικών κωδικών πρόσβασης, την ενεργοποίηση του ελέγχου ταυτότητας πολλαπλών παραγόντων και την επαγρύπνηση για ύποπτες διαδικτυακές επικοινωνίες.
Πηγή: bleepingcomputer
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/640172/hacker-klevoun-diapisteftiria-apo-selides-sindesis-microsoft-adfs/&media=https://cdnglobal.secnews.gr/wp-content/uploads/2025/02/06114512/Microsoft-ADFS-credential.jpg&description=Μια καμπάνια ηλεκτρονικού "phishing" στοχεύει το Microsoft ADFS χρησιμοποιώντας πλαστές σελίδες σύνδεσης για την κλοπή διαπιστευτηρίων.){kind=link}