Detectie van Kloon Inlogpagina [CHK-1158]
Deze controle alarmeert wanneer een kopie van de Microsoft365 loginpagina is gedetecteerd, wat kan duiden op een Adversary-in-the-Middle (AiTM) aanval.
De detectie geeft een melding wanneer een gebruiker een AiTM-site bezoekt, maar we weten niet om welke gebruiker het gaat. Je kunt proxy- of EDR-logs gebruiken om te achterhalen welke specifieke gebruiker de kwaadaardige site heeft bezocht.
Rationale
AiTM wordt gebruikt door aanvallers om multi-factor authenticatie (MFA) te omzeilen. Het slachtoffer wordt verleid om een kwaadaardige URL te bezoeken, waar een real-time kloon van de legitieme Microsoft login pagina wordt getoond. De aanvaller kan de ingevulde data kopiëren en de ingelogde sessie overnemen.
Fix
Een geautomatiseerde fix is beschikbaar via Attic.
Manuele stappen:
- Controleer het aanmeldingslogboek in Entra ID op verdachte aanmeldpogingen rond het tijdstip van de detectie om de gebruiker te identificeren: https://entra.microsoft.com/admin/identity-governance/sign-ins
- Controleer webbrowser-logs, zoals Defender DeviceNetworkEvents, om te achterhalen wie de phishingsite heeft bezocht. https://security.microsoft.com/deviceevents
- Als u de gebruiker hebt kunnen identificeren, volg dan de onderstaande stappen. Als u geen verdachte aanmeldpogingen ziet, heeft het slachtoffer waarschijnlijk geen inloggegevens ingevoerd. Verifieer dat bij de gebruiker.
- Reset het wachtwoord van de gebruiker
- Verwijder ingelogde gebruikerssessies
- Informeer het slachtoffer
Als u hulp nodig heeft bij deze stappen, kan het Attic IR team het voor u uitvoeren. Daarvoor heeft u een IR Strippenkaart nodig.
Impact
Het uitvoeren van deze fix zal de AiTM aanval stoppen en de veiligheid van de gebruiker herstellen.