Demo dell'attacco Man-in-the-Middle su Office 365

Il nostro team di supporto tecnico sta assistendo ad un aumento dell’uso di tecniche di attacco man-in-the-middle molto insidiose al fine di eludere l'MFA e far breccia nei tenant di Office 365.

Ecco uno schema di come funziona l'attacco:

• Induciamo un utente a inserire le credenziali nella nostra falsa pagina di accesso di O365 (realizzata con evilginx)
• Facciamo inviare a Microsoft un passcode (OTP) al telefono dell'utente
• L'utente immette il passcode nella NOSTRA pagina fasulla
• Dirottiamo il token della sessione dell'utente
• Accediamo all'ambiente online SharePoint
• Estrapoliamo i dati da O365
• Passiamo al sistema on-premise e rubiamo le e-mail del CEO (Perché no?)