Egyre több támadás, egyre több támadó
Az utóbbi időszakban jelentősen megnőtt az ilyen jellegű támadások száma; mögöttük pénzügyi haszonszerzésben érdekelt bűnözők – például a TA2723 –, valamint állami szereplőkhöz köthető, feltételezhetően orosz hackercsoportok is állnak. Ezek a csoportok különböző trükkökkel csalják csapdába az áldozatokat: a kódot például egyszer használatos jelszónak állítják be, vagy a Microsofthoz köthető, tokenmegújító értesítésnek álcázzák.
Professzionális adathalász eszközök
A támadások során többféle adathalász eszközt is használnak, például a SquarePhish-t (1-es és 2-es verzió), valamint a Graphish-t. A SquarePhish egy nyíltan elérhető támadóeszköz, amely QR-kódon keresztül imitálja az MFA- vagy TOTP-hitelesítési folyamatot, míg a Graphish egy kifejezetten támadóknak szánt csomag, amely támogatja az OAuth-visszaéléseket, az Azure-alkalmazás-regisztrációkat és a közbeiktatott támadásokat is.
Légy résen: bónusz, adategyeztetés, hamis linkek
A támadók különböző forgatókönyveket használnak: van például olyan támadás, ahol vállalati bónusz ígéretével, dokumentummegosztásra hivatkozva csábítanak kattintásra. Más esetekben hamis OneDrive-, LinkedIn- vagy DocuSign-oldalakat másolnak le, hogy a kód megadásával átvegyék az irányítást a fiók felett. Egyes állami hátterű csoportok, például az UNK_AcademicFlare, kifejezetten kormányzati, akadémiai, elemzői vagy közlekedési szektorban működő szervezeteket támadnak, különösen az Egyesült Államokban és Európában.
Hogyan védekezzünk?
A szakértők szerint érdemes bevezetni a Microsoft Entra Feltételes hozzáférést, illetve korlátozni, hogy honnan lehet bejelentkezni a céges fiókokba. Csak így lehet minimálisra csökkenteni az ilyen trükkös támadások sikerét.
