Podszywanie się pod Microsoft ADFS
Atakujący stosują socjotechnikę, rozsyłając wiadomości e-mail rzekomo od zespołu IT organizacji, nakłaniając użytkowników do aktualizacji zabezpieczeń lub potwierdzenia nowych zasad dostępu. Kliknięcie w fałszywy link przenosi ofiarę na stronę phishingową łudząco podobną do rzeczywistej witryny logowania ADFS. Strona ta prosi użytkownika o podanie nazwy konta, hasła oraz kodu MFA. Cyberprzestępcy przechwytują dane logowania i wykorzystują je do uzyskania dostępu do firmowych systemów. Ofiary często nie są świadome ataku, ponieważ po wpisaniu danych zostają przekierowane na autentyczną stronę logowania.
Wykorzystanie przejętych kont
Po przejęciu danych logowania hakerzy mogą wysyłać wiadomości w imieniu ofiary, rozpoczynając kolejne ataki phishingowe w organizacji lub przeprowadzając oszustwa finansowe, np. przekierowując płatności na własne konta. Technika ta jest szczególnie niebezpieczna, ponieważ wykorzystuje zaufanie użytkowników do znanych schematów logowania. Atakujący korzystają z VPN, np. Private Internet Access, aby ukryć swoją lokalizację i utrudnić wykrycie. Nie jest to atak na sam ADFS, lecz sposób na obejście jego zabezpieczeń przez manipulację użytkownikiem.
Jak chronić organizacje?
Eksperci zalecają przejście na nowocześniejsze systemy uwierzytelniania, takie jak Microsoft Entra. Dodatkowo warto wdrożyć bardziej zaawansowane filtry poczty elektronicznej oraz mechanizmy wykrywania nietypowej aktywności użytkowników. Odpowiednie szkolenia dla pracowników mogą również zmniejszyć skuteczność ataków phishingowych.
