Microsoft odhalil phishingovou kampaň zasahující 35 000 uživatelů ve 13 000 organizacích

Microsoft odhalil masivní phishingovou operaci zaměřenou na krádeže tokenů

Microsoft zveřejnil informace o rozsáhlé phishingové kampani, která kompromitovala autentizační tokeny více než 35 000 uživatelů ze 13 000 organizací. Útočníci se vydávali za oficiální odesílatele pomocí profesionálně zpracovaných e-mailů s tématikou „kodexu chování", což je taktika sociálního inženýrství navržená tak, aby v podnikové schránce působila rutinně a důvěryhodně. Organizace ze zdravotnictví, finančních služeb a technologického sektoru nesly největší nápor útoků, čímž se tato kampaň řadí k závažnějším odhalením krádeží přihlašovacích údajů v nedávné době.

Od běžného phishingu tuto kampaň odlišuje zaměření na krádeže autentizačních tokenů, nikoli přímo hesel. Tokeny jsou malé digitální přihlašovací údaje potvrzující, že se uživatel již přihlásil, a jejich zachycení může útočníkovi poskytnout plný přístup k účtu, aniž by kdy potřeboval znát heslo. To znamená, že i uživatelé se silnými a jedinečnými hesly mohli být kompromitováni, pokud byly jejich relační tokeny zachyceny.

Proč je krádež autentizačního tokenu zvláště nebezpečná

Tradiční phishing se obvykle pokouší přimět uživatele, aby zadali své uživatelské jméno a heslo na falešné přihlašovací stránce. Krádež tokenů jde o krok dále. Jakmile útočník získá platný autentizační token, může často zcela obejít bezpečnostní kontroly, včetně některých forem vícefaktorového ověřování (MFA), které ověřují identitu pouze v okamžiku přihlášení. Z pohledu systému je relace již ověřená, takže není co znovu ověřovat.

To je obzvláště znepokojivé pro organizace v regulovaných odvětvích, jako je zdravotnictví a finance, kde se za těmito přihlášeními nacházejí citlivá data, záznamy klientů a finanční systémy. Jediný odcizený token může sloužit jako hlavní klíč k e-mailu zaměstnance, cloudovému úložišti, interním nástrojům a komunikačním platformám po celou dobu, po kterou token zůstává platný.

Profesionální vzhled návnadových e-mailů ztěžuje obranu na lidské úrovni. Oznámení o „kodexu chování" v sobě nesou autoritu a naléhavost – dva prvky, které jsou spolehlivými pákami sociálního inženýrství. Zaměstnanci jsou podmíněni brát tyto zprávy vážně, a právě proto si útočníci toto zasazení zvolili.

Co to znamená pro vás

Pokud pracujete v organizaci, zejména ve zdravotnictví, financích nebo technologickém sektoru, je tato kampaň konkrétní připomínkou toho, že phishingové hrozby se staly sofistikovanějšími. Kliknutí na odkaz v dobře navrženém e-mailu a přihlášení na to, co vypadá jako legitimní portál, může odhalit váš relační token, aniž byste si uvědomili, že se něco pokazilo.

Ke snížení tohoto rizika spolupůsobí několik vrstev ochrany:

Vícefaktorové ověřování zůstává nezbytné. Přestože pokročilé techniky krádeže tokenů mohou obejít některé implementace MFA, hardwarové bezpečnostní klíče a ověřování pomocí přístupových klíčů jsou výrazně obtížněji překonatelné než SMS nebo kódy z aplikací. Organizace by měly co nejvíce upřednostňovat phishing-rezistentní standardy MFA, jako je FIDO2.

Ochrana na úrovni sítě přidává další vrstvu. VPN šifruje provoz mezi vaším zařízením a širším internetem, čímž omezuje schopnost útočníka zachytit data při přenosu v nedůvěryhodných sítích. Když zaměstnanci pracují na dálku nebo se připojují přes veřejné Wi-Fi, nešifrovaný provoz je zranitelný vůči odposlechu. Pochopení toho, jak různé protokoly VPN nakládají se šifrováním a tunelováním, může organizacím i jednotlivcům pomoci zvolit konfigurace, které jejich připojení skutečně zpevní, a nikoli pouze dodají zdání bezpečnosti.

Obezřetnost při čtení e-mailů je důležitější než kdy dříve. Dokonce i technicky zdatní uživatelé by měli váhat před kliknutím na odkazy v neočekávaných e-mailových upozorněních, zejména těch, která nesou naléhavost nebo správní autoritu. Potvrzení požadavků prostřednictvím samostatného kanálu – přímé přecházení na oficiální portál namísto používání e-mailových odkazů – je nenáročný zvyk se skutečnou obrannou hodnotou.

Životnost tokenů a správa relací si zaslouží pozornost. Bezpečnostní týmy by měly přezkoumat, jak dlouho zůstávají autentizační tokeny platné, a vynucovat kratší časová okna relací pro citlivé aplikace. Čím déle token zůstává aktivní, tím déle lze odcizený token využívat.

Závěry pro organizace a jednotlivce

Toto odhalení Microsoftu je užitečnou pobídkou k revizi současných bezpečnostních postupů, nikoli důvodem k panice. Kampaně na krádeže přihlašovacích údajů v tomto rozsahu uspívají, protože využívají mezery mezi povědomím a jednáním. Několik konkrétních kroků, které stojí za to podniknout právě teď:

• Přezkoumejte nastavení MFA a tam, kde je to možné, přejděte k phishing-rezistentním metodám ověřování.
• Zajistěte, aby vzdálení pracovníci používali VPN v nedůvěryhodných sítích pro šifrování přenášeného provozu. Pokud si nejste jisti, který protokol nejlépe odpovídá vašemu modelu hrozeb, je praktickým výchozím bodem přezkum toho, jak každý z nich nakládá s bezpečností a výkonem.
• Školte zaměstnance v rozpoznávání návnad sociálního inženýrství, včetně e-mailů s autoritativním obsahem, jako jsou oznámení o zásadách a připomenutí kodexu chování.
• Požádejte oddělení IT nebo bezpečnostní týmy o zásady týkající se relačních tokenů a o to, zda jsou pro kritické systémy proveditelná kratší okna platnosti.

Žádné jednotlivé opatření zcela neodstraní riziko, ale vrstvení hygieny ověřování, šifrovaných síťových připojení a povědomí uživatelů vytváří pro útočníky smysluplné překážky. Organizace, které tato kampaň nezasáhla, měly s největší pravděpodobností alespoň část těchto opatření zavedenu. Ty, které zasáhla, mají nyní jasnou představu o tom, kam se zaměřit.