微软表示，从2021年9月开始，已经有超过10,000个组织受到网络钓鱼攻击，攻击者会利用获得的受害者邮箱访问权进行后续的商业电子邮件破坏（BEC）攻击。攻击者使用登陆页面欺骗Office在线认证页面，从而绕过多因素认证（MFA），实现劫持Office 365认证的目的。

在这些钓鱼攻击中，潜在的受害者会收到一封使用HTML附件的钓鱼邮件，当目标点击时会被重定向到登陆页面，而HTML附件确保目标通过HTML重定向器发送。在窃取了目标的凭证和他们的会话Cookie后，这些攻击者会登录受害者的电子邮件账户，并使用受害者的访问权限进行针对其他组织的商业电子邮件泄露（BRC）活动。

Microsoft 365 Defender 研究团队和微软威胁情报中心（MSTIC）针对这一系列的钓鱼活动称：“该网络钓鱼活动使用中间人（AiTM）钓鱼网站窃取密码，劫持用户的登录会话，并跳过认证过程，即使用户已启用多因素认证（MFA）也难以防护。然后攻击者会利用窃取的凭证和会话cookies访问受影响用户的邮箱，并对其他目标进行后续的商业电子邮件破坏（BEC）活动。”

利用这种战术，攻击者的钓鱼页面充当中间人，拦截认证过程，然后从被劫持的HTTP请求中提取包括密码和更重要的会话Cookies等敏感信息。在攻击者得到目标的会话Cookie后，他们将其注入自己的网络浏览器，这使得他们可以规避MFA，实现认证过程的跳过。然后在针对其他组织的商业电子邮件泄露（BRC）活动中使用他们窃取的访问权限。

在微软的相关报告中指出虽然AiTM网络钓鱼试图规避MFA，但重要的是要强调MFA的实施仍然是身份安全的一个重要支柱，MFA在阻止各种威胁方面仍然非常有效，其有效性是AiTM网络钓鱼首先出现的原因。