Bezpečnostní experti z Push Security odhalili sofistikovanou phishingovou kampaň, která cílí na uživatele Microsoft 365. Hackeři nevytvářejí jen falešné přihlašovací stránky, ale dokázali zneužít službu Active Directory Federation Services (ADFS) – nástroj, který firmy běžně používají pro propojení interních systémů s Microsoftem.

Útočníci si zaregistrovali vlastní Microsoft účet a nakonfigurovali jej tak, aby dokázali přesměrovat uživatele na podvodnou stránku, která přitom vypadá naprosto důvěryhodně. Adresa začínala například na outlook.office.com, což většina uživatelů považuje za bezpečné.

Malvertising místo e-mailu: phishing bez spamu

Tradiční phishing často využívá podvodné e-maily, které už dnes bezpečnostní filtry většinou zachytí. Tahle kampaň jde ale jinou cestou – místo e-mailů využívá malvertising, tedy falešné reklamy.

Útočníci například cílili na uživatele, kteří do vyhledávače omylem zadali „Office 265“ místo „Office 365“. Reklama nabídla odkaz na přihlášení k účtu Microsoft, který vypadal zcela legitimně. Ve skutečnosti se ale jednalo o podvodný přihlašovací formulář.

Pro lepší maskování se ještě používala falešná stránka bluegraintours[.]com – údajný cestovatelský blog, který sloužil jako mezikrok. Díky tomu nebyla cesta k phishingové stránce na první pohled podezřelá a útok se tak vyhnul mnoha automatickým kontrolám.

Zdroj: Shutterstock

Obchází i vícefaktorové ověřování

Nejnebezpečnější část celé kampaně je schopnost obejít multi-faktorové ověřování (MFA). Běžně platí, že MFA poskytuje solidní ochranu proti phishingu, ale v tomto případě útok přesměruje data uživatelů přímo přes vlastní servery hackerů. To jim umožní zachytit nejen přihlašovací údaje, ale také jednorázové kódy z MFA v reálném čase.

Díky tomu je účinnost útoku výrazně vyšší než u klasického phishingu. V kombinaci s tím, že linky vypadají legitimně a nechodí e-mailem, má kampaň velký úspěch.

Jak se chránit před podvodnými přihlášeními

Odborníci doporučují několik opatření, která mohou riziko útoku výrazně snížit:

• Kontrolujte adresu v prohlížeči – nestačí spoléhat na to, že vidíte „outlook.office.com“. Zkontrolujte celou doménu, zejména přesměrování.
• Vyhýbejte se podezřelým reklamám – pokud hledáte služby Microsoftu, jděte přímo na oficiální stránky místo klikání na placené odkazy ve vyhledávači.
• Sledujte bezpečnostní varování – pokud váš prohlížeč nebo antivirový software upozorňuje na podezřelý odkaz, ignorujte ho.
• Nastavte blokování malvertisingu – IT oddělení by měla monitorovat reklamní provoz a sledovat podezřelé přesměrování z Microsoft přihlášení.
• Buďte opatrní při překlepech – jednoduchá chyba ve vyhledávání, například „Office 265“, může vést přímo na falešný web.