Algemeen
Deze check controleert of clone detecties hebben plaatsgevonden, die duiden op een Adversary-in-the-Middle (AiTM) aanval op 1 van uw medewerkers.
Een alarm van CHK-1158 betekent dat op dit moment een medewerker een phishing pagina aan het bezoeken is. En mogelijk daar diens wachtwoord achter heeft gelaten.
Behandel dit alarm dan ook met hoge prioriteit!
Rationale
AiTM wordt als techniek door aanvallers vooral ingezet om multi-factor authenticatie (MFA) te omzeilen. Het slachtoffer wordt verleid om een kwaadaardige URL te bezoeken, alwaar een real-time clone van de legitieme Microsoft login pagina wordt getoond. De clone acteert als doorgeefluik voor informatie tussen Microsoft en slachtoffer en vice versa, waarbij onderweg de ingevulde data door de aanvaller kan worden gekopieerd. Na succesvolle authenticatie kan de aanvaller de ingelogde sessie kopieren en zo de identiteit van de medewerker in kwestie overnemen.
Installatie van Clone Detectie wordt geregeld met CHK-1102.
Opvolging
Voer deze stappen uit om deze detecie adequaat op te volgen:
- Onderzoek of het slachtoffer ingelogd is in de phishing site:
- Neem telefonisch contact op met de medewerker om dit na te gaan
- Controleer de sign-in logs in Entra ID voor login pogingen rondom het tijdstip van de detectie
- Indien het slachtoffer inderdaad is ingelogd via de phishing site:
- Reset het wachtwoord van de gebruiker
- Verwijder ingelogde gebruikersessies
- Informeer het slachtoffer
Zolder kan assisteren bij deze handelingen en beantwoorden van gerelateerde vragen door middel van een vervolgonderzoek. Via het Attic ticket kunt u hiernaar vragen.
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.