A legújabb Microsoft 365-csalik: így lopják el a fiókodat

Az utóbbi hónapokban egyre több Microsoft 365-fiókot vesznek célba adathalász-támadók, akik a hivatalos bejelentkező oldalon keresztül szerzik meg az áldozatok hozzáférését. Ezek az elkövetők az OAuth eszközkódos hitelesítést használják ki: ráveszik a felhasználót, hogy egy kapott kódot adjon meg a Microsoft eszközbejelentkezési felületén, ezzel lényegében engedélyt adva egy, a támadók által irányított rosszindulatú alkalmazásnak a fiókhoz való hozzáférésre, anélkül, hogy jelszót kellene lopniuk, vagy megkerülnük a kétfaktoros hitelesítést.

Egyre több támadás, egyre több támadó

Az utóbbi időszakban jelentősen megnőtt az ilyen jellegű támadások száma; mögöttük pénzügyi haszonszerzésben érdekelt bűnözők – például a TA2723 –, valamint állami szereplőkhöz köthető, feltételezhetően orosz hackercsoportok is állnak. Ezek a csoportok különböző trükkökkel csalják csapdába az áldozatokat: a kódot például egyszer használatos jelszónak állítják be, vagy a Microsofthoz köthető, tokenmegújító értesítésnek álcázzák.

Professzionális adathalász eszközök

A támadások során többféle adathalász eszközt is használnak, például a SquarePhish-t (1-es és 2-es verzió), valamint a Graphish-t. A SquarePhish egy nyíltan elérhető támadóeszköz, amely QR-kódon keresztül imitálja az MFA- vagy TOTP-hitelesítési folyamatot, míg a Graphish egy kifejezetten támadóknak szánt csomag, amely támogatja az OAuth-visszaéléseket, az Azure-alkalmazás-regisztrációkat és a közbeiktatott támadásokat is.

Légy résen: bónusz, adategyeztetés, hamis linkek

A támadók különböző forgatókönyveket használnak: van például olyan támadás, ahol vállalati bónusz ígéretével, dokumentummegosztásra hivatkozva csábítanak kattintásra. Más esetekben hamis OneDrive-, LinkedIn- vagy DocuSign-oldalakat másolnak le, hogy a kód megadásával átvegyék az irányítást a fiók felett. Egyes állami hátterű csoportok, például az UNK_AcademicFlare, kifejezetten kormányzati, akadémiai, elemzői vagy közlekedési szektorban működő szervezeteket támadnak, különösen az Egyesült Államokban és Európában.

Hogyan védekezzünk?

A szakértők szerint érdemes bevezetni a Microsoft Entra Feltételes hozzáférést, illetve korlátozni, hogy honnan lehet bejelentkezni a céges fiókokba. Csak így lehet minimálisra csökkenteni az ilyen trükkös támadások sikerét.

2025, adrienne, www.bleepingcomputer.com alapján