Киберсигурност

Microsoft разкрива фишинг кампания, засегнала 35 000 потребители в 13 000 организации

5 май 2026 г.4 мин четене

By David Nakamura — Security tooling and full-stack development background

Microsoft разкрива фишинг кампания, засегнала 35 000 потребители в 13 000 организации

Microsoft разкрива масирана операция за кражба на токени чрез фишинг

Microsoft разкри мащабна фишинг кампания, която е компрометирала токени за удостоверяване на над 35 000 потребители в 13 000 организации. Нападателите са се представяли за официални податели, използвайки професионално изработени имейли с тема „кодекс на поведение" — тактика за социално инженерство, предназначена да изглежда рутинна и надеждна в корпоративна поща. Здравеопазването, финансовите услуги и технологичните компании понесоха най-голямата тежест от атаките, което прави това едно от по-значимите разкрития за кражба на идентификационни данни в последно време.

Това, което отличава тази кампания от обичайния фишинг, е фокусът върху кражбата на токени за удостоверяване, а не директно на пароли. Токените са малки цифрови идентификационни данни, които доказват, че потребителят вече е влязъл в системата, и завладяването на един такъв може да даде на нападателя пълен достъп до акаунта, без да е необходимо да знае паролата. Това означава, че дори потребители със силни и уникални пароли биха могли да бъдат компрометирани, ако сесийните им токени са прихванати.

Защо кражбата на токени за удостоверяване е особено опасна

Традиционният фишинг обикновено се опитва да подмами потребителите да въведат своето потребителско име и парола в фалшива страница за вход. Кражбата на токени отива крачка по-далеч. След като нападателят притежава валиден токен за удостоверяване, той често може да заобиколи изцяло проверките за сигурност, включително някои форми на многофакторно удостоверяване (MFA), които проверяват самоличността само в момента на влизане. От гледна точка на системата сесията вече е удостоверена и няма какво да се проверява отново.

Това е особено тревожно за организации в регулирани отрасли като здравеопазването и финансите, където чувствителни данни, клиентски досиета и финансови системи стоят зад тези влизания. Един единствен откраднат токен може да служи като главен ключ до имейла на служителя, облачното хранилище, вътрешните инструменти и комуникационните платформи за толкова дълго, колкото остава валиден.

Професионалният вид на примамливите имейли прави защитата на човешко ниво още по-трудна. Известията за „кодекс на поведение" носят усещане за авторитет и неотложност — два елемента, които са надеждни лостове в социалното инженерство. Служителите са приучени да приемат тези съобщения сериозно, което е точно причината нападателите да са избрали тази рамка.

Какво означава това за вас

Ако работите в организация, особено в здравеопазването, финансите или технологиите, тази кампания е конкретно напомняне, че фишинг заплахите са станали по-сложни. Кликването върху връзка в добре изработен имейл и влизането в това, което изглежда като легитимен портал, може да изложи вашия сесиен токен, без дори да осъзнаете, че нещо се е объркало.

Няколко слоя на защита работят заедно, за да намалят този риск:

Многофакторното удостоверяване остава от съществено значение. Въпреки че напредналите техники за кражба на токени могат да заобиколят някои реализации на MFA, хардуерните ключове за сигурност и удостоверяването на базата на passkey са значително по-трудни за преодоляване от SMS или базирани на приложения кодове. Организациите трябва да дават приоритет на устойчиви на фишинг стандарти за MFA като FIDO2 навсякъде, където е възможно.

Защитите на мрежово ниво добавят още един слой. VPN криптира трафика между вашето устройство и по-широкия интернет, което ограничава способността на нападателя да прихваща данни при пренос в ненадеждни мрежи. Когато служителите работят дистанционно или се свързват чрез обществен Wi-Fi, некриптираният трафик е уязвим за прихващане. Разбирането на това как различните VPN протоколи обработват криптирането и тунелирането може да помогне на организациите и отделните лица да изберат конфигурации, които наистина укрепват връзките им, а не просто създават привидност за сигурност.

Проверката на имейлите е по-важна от всякога. Дори технически напредналите потребители трябва да се замислят, преди да кликнат върху връзки в неочаквани имейл известия, особено тези, които носят неотложност или административен авторитет. Потвърждаването на заявките чрез отделен канал — директно отиване към официален портал, вместо използване на имейл връзки — е навик с малко усилия, но с реална защитна стойност.

Продължителността на токените и управлението на сесиите заслужават внимание. Екипите по сигурността трябва да прегледат колко дълго остават валидни токените за удостоверяване и да наложат по-кратки сесийни прозорци за чувствителни приложения. Колкото по-дълго остава активен един токен, толкова по-дълго може да се използва откраднат такъв.

Изводи за организации и физически лица

Това разкритие на Microsoft е полезен повод да направите одит на текущите практики за сигурност, а не причина за паника. Кампаниите за кражба на идентификационни данни в такъв мащаб успяват, защото използват разликите между осведомеността и действието. Ето няколко конкретни стъпки, които си струва да предприемете точно сега:

Прегледайте настройките за MFA и преминете към методи за удостоверяване, устойчиви на фишинг, където е възможно.
Уверете се, че дистанционните работници използват VPN в ненадеждни мрежи, за да криптират трафика при пренос. Ако не сте сигурни кой протокол най-добре отговаря на вашия модел на заплаха, прегледът на начина, по който всеки от тях обработва сигурността и производителността, е практична отправна точка.
Обучете персонала да разпознава примамките за социално инженерство, включително имейли, основани на авторитет, като известия за политики и напомняния за кодекс на поведение.
Попитайте IT или екипите по сигурността за политиките относно сесийните токени и дали по-кратките прозорци за изтичане са осъществими за критични системи.

Нито един единствен контрол не елиминира напълно риска, но наслояването на хигиена при удостоверяването, криптирани мрежови връзки и потребителска осведоменост създава значително триене за нападателите. Организациите, които не са засегнати от тази кампания, най-вероятно са имали поне някои от тези мерки въведени. Тези, които са засегнати, вече имат ясна картина върху какво да се съсредоточат.

// FAQ

Колко потребители и организации са засегнати от тази фишинг кампания?

Кампанията е компрометирала токени за удостоверяване на над 35 000 потребители в 13 000 организации.

Кои отрасли са били най-целени от атаките?

Здравеопазването, финансовите услуги и технологичните компании понесоха най-голямата тежест от атаките.

Защо кражбата на токени е по-опасна от традиционния фишинг на пароли?

Откраднатите токени за удостоверяване позволяват на нападателите да получат достъп до акаунти, без да знаят паролата, и могат да заобиколят някои форми на многофакторно удостоверяване, тъй като сесията вече се счита за удостоверена.

Какъв вид имейли са използвали нападателите, за да измамят жертвите?

Нападателите са изпращали професионално изработени имейли с тема „кодекс на поведение", предназначени да изглеждат рутинни и авторитетни в корпоративна поща.

Могат ли силните пароли да предпазят потребителите от този тип атака?

Не, дори потребители със силни и уникални пароли биха могли да бъдат компрометирани, тъй като нападателите са се насочили към сесийните токени, а не директно към паролите.

Microsoft разкрива масирана операция за кражба на токени чрез фишинг

Защо кражбата на токени за удостоверяване е особено опасна

Какво означава това за вас

Изводи за организации и физически лица

// FAQ

// Свързани