Nové nebezpečí, varuje FBI
FBI varuje před novým typem phishingového útoku, který cílí na účty Microsoft 365 a dokáže obejít i vícefázové ověření. Za kampaní stojí nástroj s názvem Kali365, který se podle bezpečnostních expertů začal šířit letos na jaře především přes Telegram. Nebezpečný je hlavně tím, že útočníkům výrazně usnadňuje práci – účet oběti mohou kompromitovat i méně zkušení podvodníci.
Útok přitom nefunguje klasickým způsobem přes krádež hesla. Místo toho zneužívá systém ověřování Microsoftu založený na OAuth tokenech a tzv. device code flow. Oběť dostane e-mail, který se tváří jako zpráva od důvěryhodné cloudové služby nebo nástroje pro sdílení dokumentů. Součástí zprávy je speciální kód a instrukce, aby jej uživatel zadal na legitimní stránce Microsoftu.
Právě v tom spočívá největší problém. Uživatel ve skutečnosti neodesílá své přihlašovací údaje, ale nevědomky autorizuje zařízení útočníka k přístupu ke svému účtu. Jakmile je autorizace potvrzena, útočníci získají OAuth tokeny, díky nimž se mohou dlouhodobě dostat ke službám jako Outlook, Teams nebo OneDrive – a to bez nutnosti znát heslo či znovu potvrzovat MFA.
Mohlo by vás zajímat
V důležité aplikaci Microsoftu je kritický problém. Bez okamžité aktualizace vám hrozí nebezpečí
Bezpečnost
Útok pro hackery začátečníky
Podle FBI je Kali365 nebezpečný také tím, že podobné útoky výrazně zlevňuje a zpřístupňuje širšímu okruhu kyberzločinců. Phishingové kity dnes fungují jako placená služba: útočníci si mohou pronajmout hotovou infrastrukturu obsahující falešné e-maily, připravené stránky i nástroje pro sběr přístupových údajů. Cena se pohybuje od několika dolarů měsíčně až po stovky dolarů za pokročilejší varianty.
Bezpečnostní experti doporučují firmám i běžným uživatelům omezit nebo úplně vypnout device code flow tam, kde není potřeba. Důležité je také nastavit podmíněný přístup (Conditional Access), pravidelně kontrolovat využívání OAuth autorizací a blokovat podezřelé přenosy autentizace.
Organizace, které tuto funkci potřebují zachovat, by alespoň měly vyčlenit nouzové administrátorské účty, aby v případě problému nedošlo k úplnému zablokování přístupu.
28 foto
