Nowy atak przejmuje konta Microsoft 365 bez kradzieży hasła

-Reklama-Biuro Tłumaczeń OnlineBiuro Tłumaczeń Online

Analitycy ESET ostrzegają przed nowym rodzajem phishingu, który tylko w ciągu miesiąca posłużył do ataku na setki organizacji. Jego siła polega na tym, że cyberprzestępca może włamać się na konta Microsoft 365 bez kradzieży haseł i bez podstawiania fałszywych stron logowania. Ofiara loguje się na prawdziwym portalu Microsoftu, z włączonym uwierzytelnianiem dwuskładnikowym, i sama, nieświadomie, zatwierdza logowanie z urządzenia napastnika.

EvilTokens działa w modelu phishing-as-a-service, czyli gotowego narzędzia, które przestępca kupuje i wdraża bez własnej wiedzy technicznej. Narzędzie to jest “promowane” poprzez Telegram i wykorzystywane w atakach co najmniej od lutego 2026 r. Szybko przyjęło się wśród cyberprzestępców, a w marcu 2026 r. posłużyło do przeprowadzenia ataków wymierzonych w ponad 340 organizacji w kilku krajach. Microsoft opisał też wariant ataku wspieranego przez AI, w którym dynamicznie generowano kody urządzeń i personalizowano przynęty, by zwiększyć skuteczność działań.

Mechanika ataku jest zaskakująco prosta. Zwykle cyberprzestępcy z wyprzedzeniem sprawdzają, czy konto ofiary jest aktywne (Microsoft obserwował takie rozpoznanie nawet 10 do 15 dni przed właściwym atakiem). Potem ofiara dostaje wiadomość udającą fakturę, udostępniony dokument, zaproszenie do kalendarza lub prośbę o dostęp do SharePointa, z krótkim komunikatem typu „Zweryfikuj, aby wyświetlić” albo „Wymagany podpis”. Po kliknięciu ofiara otrzymuje kod urządzenia i zostaje odesłana na prawdziwą stronę logowania Microsoftu (microsoft.com/devicelogin). Jednak kod, który widzi ofiara, w rzeczywistości należy do sesji napastnika. Wpisując go, użytkownik nie loguje siebie, lecz zatwierdza cudze logowanie. W ten sposób napastnik zyskuje dostęp do firmowej poczty, plików, komunikatora Teams i dysku w chmurze, skąd może wykradać dane albo przygotować atak typu BEC, czyli oszustwo wykorzystujące przejętą firmową pocztę.

– EvilTokens eliminuje sygnały ostrzegawcze, których uczyliśmy się latami. Nie ma podejrzanej domeny z literówką ani podrobionego formularza, bo strona logowania jest prawdziwa. Z perspektywy ofiary całe uwierzytelnianie wygląda dokładnie tak, jak powinno. Ten atak podważa też poczucie bezpieczeństwa, jakie daje uwierzytelnianie dwuskładnikowe. Ta druga warstwa ochrony jest dziś ważniejsza niż kiedykolwiek, ale nie zadziała, gdy ofiara własnoręcznie zatwierdzi niewłaściwą sesję. Tu przestępcy nie łamią 2FA żadną techniczną sztuczką, tylko nakłaniają ofiarę, żeby przeszła ten etap za nich – komentuje Kamil Sadkowski, analityk cyberbezpieczeństwa ESET.

Jak ograniczyć ryzyko

Zalecenia typu „sprawdź adres strony” czy „zwróć uwagę na literówki” wciąż są przydatne, ale nie chronią przed atakami, które nadużywają prawdziwych mechanizmów logowania. Po stronie organizacji istotne jest ograniczenie logowania kodem urządzenia tam, gdzie nie jest ono potrzebne, na przykład za pomocą polityk dostępu warunkowego, oraz monitorowanie nietypowych logowań i nieznanych urządzeń.

– Kluczowy w tym przypadku staje się kontekst. Zanim zatwierdzimy jakiekolwiek logowanie, warto sprawdzić, która aplikacja prosi o dostęp i jakiego konta ta prośba dotyczy. Odesłanie do prawdziwej strony Microsoftu nie przesądza jeszcze o tym, że żądanie jest bezpieczne. Dlatego każdą niespodziewaną prośbę o wprowadzenie kodu urządzenia należy traktować jako podejrzaną i zgłosić ją działowi IT lub bezpieczeństwa  – mówi Kamil Sadkowski, analityk cyberbezpieczeństwa ESET.

Autor/Źródło:

Disclaimer: Informacje zawarte w niniejszej publikacji służą wyłącznie do celów informacyjnych. Nie stanowią one porady finansowej lub jakiejkolwiek innej porady, mają charakter ogólny i nie są skierowane dla konkretnego adresata. Przed skorzystaniem z informacji w jakichkolwiek celach należy zasięgnąć niezależnej porady.

Polecane

Polska kupi od Szwecji trzy okręty podwodne A26. Umowa w programie Orka podpisana

Polska podpisała ze Szwecją umowę na zakup trzech okrętów...

Wyciek z Tata Electronics może być większy. W danych mają być materiały TSMC i Qualcommu

Naruszenie cyberbezpieczeństwa w Tata Electronics może mieć znacznie szersze...

Co musisz wiedzieć, zanim poprosisz sztuczną inteligencję o poradę zdrowotną

Kradzież karty kredytowej można stosunkowo łatwo odwrócić. Wycieku danych...

Wypadki przy pracy i choroby zawodowe kosztują 10,3 mld zł. Nowe dane GUS

W 2025 r. liczba pracowników zatrudnionych w warunkach zagrożenia...

Od ochrony systemów do zarządzania ryzykiem. Tak ewoluuje rola CISO

Jeszcze kilka lat temu niewiele polskich przedsiębiorstw posiadało w...
Wiadomości

Od ochrony systemów do zarządzania ryzykiem. Tak ewoluuje rola CISO

Jeszcze kilka lat temu niewiele polskich przedsiębiorstw posiadało w...

DeepSeek wskazał sposób na atak przez legalną funkcję przeglądarki

Nie potrzeba już exploita, złośliwego załącznika ani instalacji podejrzanej...

Magdalena Sobkowiak-Czarnecka nowym pełnomocnikiem rządu ds. odporności państwa

Magdalena Sobkowiak-Czarnecka zostanie Pełnomocnikiem Rządu do spraw Wzmocnienia Odporności...

Google: Polska potrzebuje odpornej architektury cyfrowej dla obronności

Spośród wszystkich członków NATO to Polska w 2025 roku...

Monitoring obiektu firmowego – od czego zacząć?

Decyzja o monitoringu w firmie rzadko zapada w spokoju....

Polska kupi od Szwecji trzy okręty podwodne A26. Umowa w programie Orka podpisana

Polska podpisała ze Szwecją umowę na zakup trzech okrętów...

Co musisz wiedzieć, zanim poprosisz sztuczną inteligencję o poradę zdrowotną

Kradzież karty kredytowej można stosunkowo łatwo odwrócić. Wycieku danych...

Wypadki przy pracy i choroby zawodowe kosztują 10,3 mld zł. Nowe dane GUS

W 2025 r. liczba pracowników zatrudnionych w warunkach zagrożenia...
Coś dla Ciebie

Wybrane kategorie