Microsoft викриває фішингову кампанію, яка вразила 35 000 користувачів у 13 000 організаціях

Microsoft викриває масштабну фішингову операцію з крадіжки токенів

Microsoft розкрила масштабну фішингову кампанію, в результаті якої були скомпрометовані токени автентифікації понад 35 000 користувачів із 13 000 організацій. Зловмисники видавали себе за офіційних відправників, використовуючи професійно оформлені електронні листи на тему «кодексу поведінки» — техніка соціальної інженерії, розрахована на те, щоб виглядати звично та викликати довіру в корпоративній поштовій скриньці. Найбільшого удару зазнали компанії у сферах охорони здоров'я, фінансових послуг та технологій, що робить це один із найбільш резонансних випадків розкриття інформації про крадіжку облікових даних за останній час.

Те, що відрізняє цю кампанію від звичайного фішингу, — це зосередженість на крадіжці токенів автентифікації, а не безпосередньо паролів. Токени — це невеликі цифрові облікові дані, які підтверджують, що користувач вже увійшов у систему, і їх захоплення може надати зловмиснику повний доступ до облікового запису без необхідності знати пароль. Це означає, що навіть користувачі з надійними унікальними паролями могли бути скомпрометовані, якщо їхні сесійні токени були перехоплені.

Чому крадіжка токенів автентифікації особливо небезпечна

Традиційний фішинг зазвичай намагається змусити користувачів ввести своє ім'я користувача та пароль на підробленій сторінці входу. Крадіжка токенів йде на крок далі. Отримавши дійсний токен автентифікації, зловмисник часто може повністю обійти перевірки безпеки, включно з деякими формами багатофакторної автентифікації (MFA), які перевіряють особу лише в момент входу. З точки зору системи, сесія вже автентифікована, тому немає нічого для повторної перевірки.

Це особливо тривожно для організацій у регульованих галузях, таких як охорона здоров'я та фінанси, де конфіденційні дані, записи клієнтів і фінансові системи знаходяться за цими входами. Один вкрадений токен може слугувати головним ключем до електронної пошти співробітника, хмарного сховища, внутрішніх інструментів і комунікаційних платформ — доти, доки цей токен залишається дійсним.

Професійний вигляд листів-приманок робить захист на людському рівні ще складнішим. Повідомлення про «кодекс поведінки» несуть відтінок авторитетності та терміновості — два елементи, які є надійними важелями в соціальній інженерії. Співробітники привчені сприймати такі повідомлення серйозно, і саме тому зловмисники обрали такий формат.

Що це означає для вас

Якщо ви працюєте в організації, особливо у сферах охорони здоров'я, фінансів або технологій, ця кампанія є конкретним нагадуванням про те, що фішингові загрози стали більш витонченими. Клік на посилання у добре оформленому листі та вхід на те, що виглядає як легітимний портал, можуть викрити ваш сесійний токен, і ви навіть не зрозумієте, що щось пішло не так.

Кілька рівнів захисту діють разом, щоб знизити цей ризик:

Багатофакторна автентифікація залишається необхідністю. Хоча передові техніки крадіжки токенів можуть обійти деякі реалізації MFA, апаратні ключі безпеки та автентифікація на основі ключів доступу значно складніші для обходу, ніж SMS або коди з додатків. Організаціям слід якомога ширше впроваджувати стандарти MFA, стійкі до фішингу, наприклад FIDO2.

Захист на мережевому рівні додає ще один шар. VPN шифрує трафік між вашим пристроєм і мережею інтернет, що обмежує здатність зловмисника перехоплювати дані під час передачі в ненадійних мережах. Коли співробітники працюють віддалено або підключаються через публічний Wi-Fi, незашифрований трафік вразливий до перехоплення. Розуміння того, як різні протоколи VPN забезпечують шифрування та тунелювання, може допомогти організаціям і окремим користувачам обирати конфігурації, які справді зміцнюють їхні з'єднання, а не просто створюють видимість безпеки.

Уважність до електронної пошти важлива як ніколи. Навіть технічно підготовлені користувачі повинні зупинятися перед тим, як клікати на посилання в несподіваних електронних сповіщеннях, особливо тих, що несуть терміновість або адміністративний авторитет. Підтвердження запитів через окремий канал — безпосередній перехід на офіційний портал замість переходу за посиланням у листі — це малозатратна звичка з реальною захисною цінністю.

Терміни дії токенів і управління сесіями заслуговують на увагу. Команди безпеки повинні переглянути, як довго залишаються дійсними токени автентифікації, і запровадити коротші вікна сесій для конфіденційних застосунків. Що довше токен залишається активним, то довше вкрадений токен може використовуватися.

Висновки для організацій і окремих користувачів

Це розкриття інформації від Microsoft є корисним приводом для аудиту поточних практик безпеки, а не причиною для паніки. Кампанії з крадіжки облікових даних у такому масштабі досягають успіху, оскільки використовують прогалини між обізнаністю та діями. Кілька конкретних кроків, які варто зробити просто зараз:

• Перегляньте налаштування MFA та за можливості перейдіть до методів автентифікації, стійких до фішингу.
• Переконайтеся, що віддалені працівники використовують VPN у ненадійних мережах для шифрування трафіку під час передачі. Якщо ви не впевнені, який протокол найкраще відповідає вашій моделі загроз, огляд того, як кожен із них забезпечує безпеку та продуктивність, є практичною відправною точкою.
• Навчіть персонал розпізнавати приманки соціальної інженерії, включно з листами, що апелюють до авторитету, такими як повідомлення про політику та нагадування про кодекс поведінки.
• Запитайте у відділів IT або безпеки про політики сесійних токенів і чи можливо встановити коротші строки дії для критичних систем.

Жоден окремий захід не усуває ризик повністю, але поєднання гігієни автентифікації, зашифрованих мережевих з'єднань і обізнаності користувачів створює суттєві перешкоди для зловмисників. Організації, яких ця кампанія не торкнулася, найімовірніше, мали принаймні частину цих заходів. Ті, кого вона торкнулася, тепер мають чітке уявлення про те, на чому зосередити увагу.