網(wǎng)絡(luò)安全研究公司 Zscaler 警告稱 ——?使用微軟電子郵件服務(wù)的用戶需提高警惕，因?yàn)樗麄儎倓偘l(fā)現(xiàn)了一種新型網(wǎng)絡(luò)釣魚活動(dòng)。調(diào)查顯示，攻擊者正使用 AiTM 中間人技術(shù)，來繞過當(dāng)前的 MFA 多因素身份驗(yàn)證，且企業(yè)客戶很容易受到這方面的影響。

AiTM 工作原理（圖自：Microsoft?官網(wǎng)）

顧名思義，AiTM 技術(shù)會(huì)將攻擊者置于通訊流程的中間節(jié)點(diǎn)，以攔截客戶端與服務(wù)器之間的身份驗(yàn)證過程，從而在交換期間竊取登陸憑證。

換言之，MFA 多因素身份驗(yàn)證信息本身，也會(huì)被攻擊者給盜用。Zcaler 旗下 ThreatLabz 對本輪網(wǎng)絡(luò)釣魚活動(dòng)展開了分析，并得出了以下幾個(gè)結(jié)論。

（1）首先，使用微軟電子郵件服務(wù)的企業(yè)客戶，成為了本輪大規(guī)模網(wǎng)絡(luò)釣魚活動(dòng)的主要目標(biāo)。

（2）其次，問題都源于攻擊者向受害者散播的帶有惡意鏈接的電子郵件。

（3）在 Zscaler 發(fā)表文章時(shí)，攻擊仍處于活躍狀態(tài)。且?guī)缀趺刻?，威脅行為者都會(huì)注冊新的釣魚郵件域名。

（4）在此情況下，一旦某位高管的商業(yè)電子郵件被此類釣魚攻擊所攻破，后續(xù)就會(huì)成為在企業(yè)內(nèi)進(jìn)一步散播的新感染源頭。

（5）包括美國、英國、新西蘭、澳大利亞在內(nèi)的許多地區(qū)，其金融科技、貸款、保險(xiǎn)、能源與制造等關(guān)鍵垂直行業(yè)，都成為了本輪攻擊的重點(diǎn)目標(biāo)。

（6）為實(shí)現(xiàn)攻擊目的，幕后黑手使用了能夠繞過 MFA 多因素身份驗(yàn)證、基于代理的自定義網(wǎng)絡(luò)釣魚工具包。

（7）攻擊者擅于利用各種偽裝和瀏覽器指紋識別技術(shù)，以繞過 URL 自動(dòng)分析系統(tǒng)。

（8）結(jié)合諸多 URL 重定向方法，以規(guī)避企業(yè)的電子郵件 URL 分析解決方案。

（9）濫用 CodeSandbox 和 Glitch 等合法的線上代碼編輯服務(wù)，以延長攻擊活動(dòng)的“質(zhì)保期限”。

（10）Zscaler 還留意到，攻擊者注冊的某些域名，明顯山寨了美國聯(lián)邦信用合作社的名稱（存在故意的近似拼寫錯(cuò)誤）。

最后，有關(guān)本輪 AiTM 攻擊的更多細(xì)節(jié)，還請移步至 Zscaler 官方博客查看（傳送門）。