Microsoft Threat Intelligence сообщает об активной фишинговой кампании, проводимой группой Storm-2372. С августа 2024 года злоумышленники атакуют правительства, НПО и организации в различных отраслях, используя метод под названием "фишинг кода устройства".
Этот метод работает следующим образом: пользователю отправляют поддельное приглашение на встречу (например, через Microsoft Teams), а затем просят пройти аутентификацию с помощью кода устройства. Когда пользователь вводит код на официальной странице, злоумышленники получают токены доступа, которые позволяют им входить в учетные записи без ввода пароля. Это может привести к утечке данных и дальнейшему распространению атаки внутри организации.
Фишинговые приманки маскируются под известные сервисы обмена сообщениями, такие как WhatsApp, Signal и Microsoft Teams. Злоумышленники используют украденные учетные данные для поиска конфиденциальной информации, включая пароли и корпоративные секреты, а затем распространяют атаку, отправляя новые фишинговые сообщения от имени жертвы.
Microsoft рекомендует:
- Ограничить использование аутентификации через код устройства;
- Обучать сотрудников распознавать фишинговые атаки;
- Использовать многофакторную аутентификацию (MFA);
- Настроить мониторинг подозрительных входов и аннулировать скомпрометированные сеансы;
- Централизовать управление идентификацией для защиты корпоративных данных.
Для компаний это сигнал усилить обучение сотрудников и внедрять проактивные механизмы защиты. Фишинговые атаки эволюционируют, и эффективное противодействие требует постоянного мониторинга и обновления мер безопасности.