Quando l'accesso è il bottino: il playbook della frode payroll dietro il furto di sessione AiTM
Una presunta truffa payroll usa phishing e tattiche adversary-in-the-middle per aggirare l'MFA, quindi modifica in modo discreto i dettagli dell'account nei portali HR e finance.
La frode payroll non si limita più a password rubate e ovvi scam di bonifico bancario. In questo caso, la mossa pericolosa è più semplice e più difficile da individuare: indurre un utente ad accedere, intercettare la sessione live e poi operare all'interno di una sessione browser legittima abbastanza a lungo da modificare i dettagli di pagamento. Ecco perché il phishing AiTM è diventato un modello di abuso dell'identità così persistente.
Fatti rapidi
- Si segnala che una campagna denominata Payroll Pirate utilizza phishing e hijacking di sessione AiTM.
- L'obiettivo è aggirare l'MFA e reindirizzare le erogazioni payroll o gli stipendi.
- I portali payroll e HR sono la principale superficie di bersaglio, soprattutto negli ambienti mid-market ed enterprise.
- La catena d'attacco può includere furto di credenziali, intercettazione della sessione in tempo reale e modifiche sottili al profilo.
- L'MFA resistente al phishing e la revoca rapida delle sessioni sono i principali punti di pressione difensiva.
Come funziona l'inganno
Gli attacchi AiTM collocano un proxy tra la vittima e il servizio reale. L'utente crede di effettuare l'accesso normalmente, ma l'attaccante rilancia la sessione in tempo reale e cattura il token o il cookie che prova che il login è andato a buon fine. Una volta che ciò accade, l'MFA potrebbe già essere stata soddisfatta, ed è per questo che l'attaccante a volte può riutilizzare la sessione senza dover coinvolgere di nuovo la vittima.
Questo è particolarmente importante nei sistemi HR e payroll, dove un singolo account autenticato può esporre i dettagli bancari dei dipendenti, i controlli sui depositi diretti e le impostazioni di notifica. Se un attaccante entra in quel flusso di lavoro, l'obiettivo è di solito una manipolazione silenziosa piuttosto che una distruzione rumorosa. Piccole modifiche al profilo possono bastare per dirottare lo stipendio verso un conto controllato dall'attaccante.
MITRE classifica l'adversary-in-the-middle come ATT&CK T1557. La lezione chiave non è che l'MFA sia inutile, ma che l'MFA comune non è la stessa cosa dell'MFA resistente al phishing. Codici SMS, approvazioni push e altri metodi riutilizzabili possono essere aggirati in attacchi in stile AiTM se l'attaccante cattura una sessione live.
Al momento della stesura, le informazioni pubbliche non hanno ancora stabilito in modo completo la causa tecnica principale, l'ambito completo degli utenti interessati o se i sistemi downstream siano stati compromessi.
Che cosa dovrebbero monitorare i difensori
Il rischio operativo spesso risiede nelle attività successive: richieste di nuova autenticazione inattese, posizioni di accesso insolite, regole sospette nella posta in arrivo, replay di token da dispositivi insoliti e modifiche ai campi bancari o payroll. Questi sono gli indizi che una sessione potrebbe essere stata dirottata invece che semplicemente indovinata.
Dal punto di vista difensivo, l'MFA resistente al phishing aiuta a ridurre il rischio di phishing basato su proxy, ma non è una soluzione completa. La governance delle sessioni resta importante: revocare rapidamente i token, forzare una nuova autenticazione quando cambia il rischio e verificare gli account per abusi delle regole o modifiche ai profili di pagamento. La verifica out-of-band delle modifiche ai dati bancari può aiutare a prevenire modifiche fraudolente, soprattutto dove i cambiamenti payroll possono spostare denaro con poca frizione.
Conclusione
La lezione più ampia è che la sicurezza dell'identità ormai va oltre il prompt della password. Se un attaccante può impadronirsi della sessione, spesso può agire come il vero utente finché qualcuno non nota le tracce lasciate. I sistemi payroll rendono la cosa particolarmente pericolosa perché l'ultimo passaggio non è sempre una violazione dei dati - a volte è semplicemente un numero cambiato nel campo giusto.
TECHCROOK
hardware security key: Una hardware security key è un'opzione pratica per gli account che supportano l'MFA resistente al phishing. Aggiunge un fattore fisico e può ridurre la dipendenza da codici riutilizzabili o prompt push. Abbinala al monitoraggio delle sessioni e alla revoca rapida dei token, soprattutto per gli accessi payroll, HR e finance.
WIKICROOK
- AiTM: adversary-in-the-middle, una tecnica proxy che intercetta in tempo reale il traffico di autenticazione e i token di sessione.
- Token di sessione: una credenziale che prova che un utente è già autenticato, spesso memorizzata come cookie o bearer token.
- MFA resistente al phishing: metodi di autenticazione progettati per resistere ad attacchi di replay e proxy, come gli autenticatori crittografici.
- Portale payroll: un sistema web usato per gestire le impostazioni di retribuzione dei dipendenti, i dettagli dei depositi e le azioni HR correlate.
- Revoca della sessione: il processo di invalidazione delle sessioni di accesso attive in modo che i token rubati non possano più essere riutilizzati.




