Ett enda nätfiskemejl kan räcka för att angripare ska stjäla identitet, ta sig förbi multifaktorautentisering och få varaktig åtkomst till en IT-miljö. Det visar en kontrollerad simulering från Barracuda Research. Angreppet gick från första klick till komprometterad enhet och fortsatt åtkomst på fem minuter.
Angreppet började med ett mejl
Simuleringen genomfördes av säkerhetsbolagets Red Team. Med generativ AI skapades ett trovärdigt nätfiskemejl med en brådskande begäran om ett dokument. Mottagaren öppnade mejlet efter 21 minuter och klickade på en länk till en falsk inloggningssida som efterliknade Microsoft.
Inom 60 sekunder hade användaren skrivit in sina inloggningsuppgifter. Angriparna hade styrt om inloggningsflödet för att fånga upp informationen mellan användaren och Microsoft. När en MFA-förfrågan skickades tog det ytterligare en minut innan användaren godkände verifieringen. Även den informationen fångades upp.
– Den här forskningen visar hur AI ökar både hastigheten och komplexiteten i cyberattacker. Genom att kombinera AI-genererat nätfiske, kapning av sessioner och metoder för social manipulation kan angripare gå från ett övertygande mejl till att kompromettera ett konto på bara några minuter, säger Kristian Lundström, lösningsarkitekt på Barracuda Networks.
Fick åtkomst till konto och miljö
Två minuter efter klicket hade angriparna tillgång till användarnamn, lösenord, sessionsuppgifter och autentiseringscookie. Med den stulna sessionen kunde de läsa och skicka mejl i användarens namn, nå SharePoint och OneDrive, skapa inkorgsregler för att dölja sin aktivitet och godkänna skadliga appar för att behålla åtkomsten efter att sessionen löpt ut.
I nästa steg användes ett ClickFix-bedrägeri. Användaren uppmanades att genomföra en extra verifiering och klistrade in en kod som aktiverade ett skadligt skript. Därmed fick angriparna ett första fäste i miljön. Inom fem minuter från första klicket hade de säkrat varaktig åtkomst, vilket gjorde det möjligt att återvända, utöka behörigheter och installera ytterligare skadlig kod.
Flera skydd krävs samtidigt
Säkerhetsbolaget pekar på att moderna AI-drivna flerstegsattacker kräver skydd i flera lager. Åtgärder som lyfts fram är nätfiskeresistent MFA, exempelvis säkerhetsnycklar, realtidsbaserat e-postskydd, stark e-postautentisering som DMARC, användarutbildning och begränsad åtkomst till verktyg som ofta utnyttjas av angripare.
