Támadási hullámok és EvilTokens
Az ismeretlen támadócsoport szervezetek széles körét veszi célba világszerte, függetlenül iparágtól. A támadássorozat eszköztára sokban hasonlít az EvilTokens nevű adathalász csomaghoz, amelyet 2026. február köepétől szolgáltatásként árulnak. Az EvilTokens segítségével a támadók képesek megkerülni a többfaktoros azonosítást, majd észrevétlenül jelennek meg az áldozat Microsoft 365-fiókjában. A fejlesztők hamarosan Gmail- és Okta-rendszerek ellen is kibővítik a lehetőségeket. Bár a támadások tömegesek, a fő cél minden esetben a pénzügyi adatok megszerzése: az automatizált folyamatok főként ilyen típusú leveleket emelnek ki és továbbítanak a bűnözőknek.
Gyenge pont: eszközkódos hitelesítés
A támadók a Microsoft úgynevezett eszközkódos hitelesítését használják ki, amelyet eredetileg olyan eszközök számára fejlesztettek (például okostévék, nyomtatók, IoT-készülékek), ahol nincs lehetőség hagyományos bejelentkezésre. A folyamat során a felhasználó egy rövid kódot kap, amelyet aztán egy böngészőben, egy másik eszközön kell megadnia. Ez egyszerűbb bejelentkezést tesz lehetővé, de biztonsági kompromisszumot jelent, mert a hitelesítés már nem kötődik szorosan az eredeti eszközhöz vagy felhasználóhoz. A támadók egy megtévesztő e-mailben küldenek ilyen kódot, amellyel – ha az áldozat megadja – a támadó automatikusan hozzáfér a fiókhoz, megkerülve az extra védelmi rétegeket.
Kifinomult támadási lánc és MI-alapú trükkök
Az első lépésben a bűnözők egy Microsoft-API-t (GetCredentialType) használnak, hogy ellenőrizzék, élő-e a megcélzott e-mail-cím. Ez a felderítés jellemzően már 10–15 nappal a tényleges adathalász e-mailek előtt megtörténik. A tényleges támadáshoz MI-t vetnek be: rendkívül személyre szabott e-maileket generálnak, amelyek témája lehet ajánlatkérés, számla vagy épp gyártási folyamatokkal kapcsolatos ügy. Ezekhez veszélyes csatolmányt vagy linket illesztenek, ám a hivatkozás nem közvetlenül a végső, adathalászoldalhoz vezet. Ehelyett automatizált átirányításokat építenek be, olyan legitim platformokra (Railway, Cloudflare Workers, DigitalOcean, AWS Lambda) támaszkodva, amelyek jobban átcsúsznak a vállalati biztonsági szűrőkön és megfigyelőrendszereken.
Az utolsó átirányításnál egy, a Microsoft bejelentkezési oldalára megtévesztően hasonlító oldalon kérik a felhasználót, hogy igazolja magát egy gombbal, majd nézze meg az eszközkódot, amely valójában a támadókhoz vezet.
Dinamikus kódgenerálás és folyamatos követés
A siker egyik kulcsa a dinamikus eszközkód-generálás, vagyis az, hogy a rövid élettartamú (15 perces) hitelesítőkódot nem előre, hanem csak a végső oldalon hozzák létre. Így a célpontnak kevesebb esélye van rá, hogy idő előtt észrevegye a trükköt, vagy kifusson az időből – a visszaszámlálás csak akkor indul, amikor tényleg a csalók adathalász-oldalán jár.
A felhasználó a valós Microsoft-oldalra kerül, beírja az adott kódot, miközben a háttérben egy szkript folyamatosan figyeli az állapotot. Amint a belépés megtörténik, az érvényes hozzáférési token azonnal eljut a támadókhoz. Ezzel megkerülik a többfaktoros hitelesítést, és teljes hozzáférést szereznek az érintett fiók felett.
Mit tehetünk a védelemért?
A támadás utáni további lépések a bűnözők céljától függenek: általában pár percen belül új eszközt regisztrálnak, amellyel tartós hozzáférést biztosítanak maguknak, vagy akár órák múlva kezdik el letölteni az érzékeny leveleket és beállításokat, illetve szabályokat készítenek a fontos pénzügyi üzenetek automatikus továbbítására.
Védelmi szempontból csak akkor érdemes engedélyezni az eszközkódos hitelesítést, ha feltétlenül szükséges. Fontos a munkatársak képzése is: tudniuk kell felismerni a gyanús, külső forrásból érkező leveleket és linkeket. Ma már a Microsoft Azure is megerősítő kattintást kér a felhasználóktól a bejelentkezésnél, de ez a funkció gyakran hiányzik az adathalász-oldalakról.
A fentiek tükrében minden szervezet számára létfontosságú, hogy minimálisra csökkentse az ilyen jellegű támadási felületeket, erősítse a dolgozók tudatosságát, és az IT-biztonsági védelem legújabb lehetőségeit is kihasználja a csalásokkal szemben.
