Eksperci z firmy Kaspersky wydali ostrzeżenie przed wyjątkowo wyrafinowaną kampanią phishingową, która wywraca do góry nogami dotychczasowe zasady cyberbezpieczeństwa. Do tej pory podstawową obroną przed oszustami było sprawdzanie adresu strony internetowej, na której wpisujemy dane. Nowy atak, nazwany Device Code Phishing, całkowicie temu przeczy. Ofiary nie są bowiem kierowane na podrobione witryny, lecz wpisują dane na prawdziwej, oficjalnej stronie logowania Microsoftu, osobiście przekazując przestępcom dostęp do swoich skrzynek pocztowych, plików w chmurze OneDrive oraz konwersacji na Teamsie.
Jak oszuści bezczelnie wykorzystali sprytny mechanizm dla Smart TV?
Cała sztuczka opiera się na genialnym w swojej prostocie nadużyciu oficjalnego protokołu Microsoftu, który stworzono, aby ułatwić życie użytkownikom urządzeń bez klasycznej klawiatury. Chodzi o mechanizm używany np. podczas logowania do aplikacji streamingowych na telewizorach Smart TV. Na ekranie wyświetla się wówczas krótki kod oraz link, który trzeba przepisać na smartfonie, aby zatwierdzić dostęp do konta. Hakerzy postanowili odwrócić ten proces i wykorzystać go do kradzieży tożsamości.

Atak zaczyna się od maila, który udaje oficjalne pismo z kancelarii prawnej. Ofiara znajduje w wiadomości zabezpieczony hasłem plik PDF, co ma uwiarygodnić całą korespondencję. Po wpisaniu hasła i kliknięciu w link mający rzekomo otworzyć tajne dokumenty prawnicze, użytkownik trafia na stronę pełną testów CAPTCHA. Te mają za zadanie zablokować automatyczne systemy antywirusowe. Gdy przebrnie przez weryfikację, widzi komunikat z prośbą o skopiowanie wygenerowanego kodu i zostaje natychmiast przekierowany na autentyczną stronę logowania Microsoftu.
Atak na konta Microsoft – ofiara sama przechodzi weryfikację dwuetapową
W tym momencie następuje kluczowy moment manipulacji, w którym ofiara czuje się bezpiecznie. W końcu pasek przeglądarki pokazuje legalną i szyfrowaną domenę technologicznego giganta. Użytkownik posłusznie wkleja skopiowany wcześniej kod i zatwierdza operację, często przechodząc przy tym pełną weryfikację dwuetapową na swoim telefonie. Nie wie jednak, że ten kod został wcześniej wygenerowany przez aplikację hakerów. Zatwierdzenie go na oficjalnej stronie daje przestępcom bezterminowy dostęp do konta.

Hakerzy wzięli na celownik użytkowników Microsoftu / źródło zdjęcia: Securelist
Efekt tego oszustwa jest dla zaatakowanej firmy lub prywatnego użytkownika katastrofalny. Przestępcy przejmują tzw. tokeny odświeżania, które pozwalają im na ciche i niewidoczne kontrolowanie konta, czytanie maili oraz wysyłanie wiadomości w imieniu ofiary bez konieczności znajomości jej hasła. Eksperci z Kaspersky podkreślają, że przed tym atakiem nie chroni klasyczna metoda sprawdzania linków. Hakerzy perfekcyjnie bowiem wykorzystują otwarte przekierowania na zaufanych domenach.
Jedyne co może nas uratować, to absolutna zasada ograniczonego zaufania i niewpisywanie żadnych kodów autoryzacyjnych, jeśli sami sekundę wcześniej nie uruchomiliśmy logowania na zewnętrznym urządzeniu. Dla firm najlepszym ratunkiem jest z kolei całkowite zablokowanie tego typu logowania w panelu administracyjnym Microsoft Entra ID.
Źródło tekstu: Neowin, Windows Report / Zdjęcie otwierające: Unsplash (@boliviainteligente)