ผู้โจมตีใช้บริการฟิชชิ่ง EvilProxy ที่สามารถรวบรวมคุกกี้เซสชัน ซึ่งสามารถใช้เพื่อเลี่ยงผ่านกลไกการรับรองความถูกต้องแบบหลายปัจจัย (MFA)นักวิจัยจาก Menlo Security รายงานว่าเป้าหมายของแคมเปญฟิชชิ่งนี้คือผู้บริหารและพนักงานระดับสูงจากอุตสาหกรรมต่างๆ รวมถึงการผลิตทางอิเล็กทรอนิกส์ การธนาคารและการเงิน อสังหาริมทรัพย์ การประกันภัย และการจัดการทรัพย์สิน

      Menlo Security ค้นพบ ผู้คุกคามใช้ประโยชน์จากการเปลี่ยนเส้นทางแบบเปิดบน Indeed.com ซึ่งเป็นเว็บไซต์ประกาศรับสมัครงานในอเมริกาเป้าหมายจะได้รับอีเมลพร้อมลิงก์ Indeed.com ที่ดูถูกต้องตามกฎหมาย เมื่อเข้าถึงแล้ว URL จะนำผู้ใช้ไปยังไซต์ฟิชชิ่งซึ่งทำหน้าที่เป็นพร็อกซีย้อนกลับสำหรับหน้าเข้าสู่ระบบของ Microsoft

      EvilProxy เป็นแพลตฟอร์มฟิชชิ่งในรูปแบบบริการที่ใช้ Reverse Proxies เพื่ออำนวยความสะดวกในการสื่อสารและถ่ายทอดรายละเอียดผู้ใช้ระหว่างเป้าหมายและบริการออนไลน์ของ Microsoft ในกรณีนี้เมื่อผู้ใช้เข้าถึงบัญชีของตนผ่านเซิร์ฟเวอร์ฟิชชิ่งนี้ ซึ่งเลียนแบบหน้าเข้าสู่ระบบจริง ผู้คุกคามสามารถจับคุกกี้การตรวจสอบสิทธิ์ได้เนื่องจากผู้ใช้ได้เสร็จสิ้นขั้นตอน MFA ที่จำเป็นในระหว่างการเข้าสู่ระบบแล้ว คุกกี้ที่ได้รับจึงทำให้อาชญากรไซเบอร์สามารถเข้าถึงบัญชีเหยื่อได้อย่างเต็มที่

      คำแนะนำ

• ป้องกันได้ด้วยการให้ความระมัดระวังในการใช้งานอินเทอร์เน็ตให้มากขึ้นและสังเกตให้ดีว่าอีเมล์หรือ Link ที่เราได้รับมานั้นมีความน่าเชื่อถือมากน้อยเพียงใด
• ต้องตรวจสอบทุกครั้งก่อนดาวน์โหลดหรือเปิดไฟล์ขึ้นมา

รายละเอียดเพิ่มเติม : https://www.bleepingcomputer.com/news/security/evilproxy-uses-indeedcom-open-redirect-for-microsoft-365-phishing/

‍