«Διαγράψτε τους κωδικούς πρόσβασής σας», προειδοποιεί η Microsoft τους πάνω από ένα δισεκατομμύριο χρήστες της, οι οποίοι θα πρέπει να μεταβούν πλήρως στη χρήση κλειδιών πρόσβασης (passkeys).
«Αν παραμείνει κάποιος κωδικός πρόσβασης στον λογαριασμό σας», αναφέρει η εταιρεία, «ο λογαριασμός αυτός παραμένει ευάλωτος σε επιθέσεις και μπορεί να παραβιαστεί».
Όπως συμβαίνει με τα κλεμμένα διαπιστευτήρια της Apple και της Google, έτσι και αυτά της Microsoft είναι περιζήτητα λόγω όλων των υπηρεσιών στις οποίες παρέχουν πρόσβαση, σημειώνει το Forbes.
Δεν αποτελεί λοιπόν έκπληξη το γεγονός ότι η Checkpoint μόλις αποκάλυψε ότι «το πρώτο τρίμηνο του 2026, η Microsoft συνέχισε να είναι η μάρκα που υποκρίθηκε περισσότερο σε επιθέσεις phishing, αντιπροσωπεύοντας το 22% όλων των προσπαθειών υποκρισίας μάρκας». Η εταιρεία αναφέρει ότι «τα αποτελέσματα ενισχύουν μια μακροχρόνια τάση: οι επιτιθέμενοι εκμεταλλεύονται συστηματικά μάρκες υψηλής εμπιστοσύνης για να κλέψουν διαπιστευτήρια και να αποκτήσουν αρχική πρόσβαση σε προσωπικά και εταιρικά περιβάλλοντα».
Επιτήδειοι υποδύονται τη νόμιμη υπηρεσία της Microsoft
Η Checkpoint έχει επισημάνει μια νέα «κακόβουλη» επίθεση, η οποία υποδύεται τη «νόμιμη υπηρεσία ελέγχου ταυτότητας της Microsoft» για να παρουσιάσει στους χρήστες «μια σελίδα σύνδεσης με το λογότυπο της Microsoft». Η διεύθυνση URL που οδηγεί στη σύνδεση έχει σχεδιαστεί για να παραπλανήσει τους χρήστες ώστε να πιστέψουν ότι πρόκειται για έναν κανονικό ιστότοπο της Microsoft, ενώ η σελίδα σύνδεσης μοιάζει ακριβώς όπως θα περίμενε κανείς.
«Το όνομα της μάρκας είναι ενσωματωμένο σε έναν υποτομέα ενός άσχετου γονικού τομέα, με στόχο να εξαπατήσει τους χρήστες που δεν ελέγχουν προσεκτικά την πλήρη διεύθυνση URL», αναφέρει η Checkpoint.
Εάν εισαγάγετε τη διεύθυνση email σας στη σελίδα σύνδεσης, η «ροή πιστοποίησης» θα στείλει έναν κωδικό επαλήθευσης που ανακατευθύνει «σε μια μη λειτουργική οθόνη σύνδεσης». Αυτό συμβαίνει επειδή έχει σχεδιαστεί αποκλειστικά για να συλλέξει τα στοιχεία του email και του κωδικού πρόσβασής σας.
Αν δείτε τις σελίδες σύνδεσης που εμφανίζονται στην παραπάνω εικόνα, απομακρυνθείτε από εκεί όσο πιο γρήγορα μπορείτε. Αν έχετε εισαγάγει οποιαδήποτε στοιχεία, αλλάξτε αμέσως τους κωδικούς πρόσβασής σας. Αν δεν διαθέτετε κωδικό πρόσβασης και κάποια μορφή πολυπαραγοντικής επαλήθευσης ταυτότητας εκτός SMS στον λογαριασμό σας στη Microsoft — ή σε οποιονδήποτε άλλο λογαριασμό στον οποίο έχετε συνδεθεί —, φροντίστε να το διορθώσετε αμέσως.
Στο τρίμηνο, η Checkpoint αναφέρει ότι «η Apple ανέβηκε στη δεύτερη θέση με 11%, αντανακλώντας την αυξανόμενη εστίαση των επιτιθέμενων σε οικοσυστήματα καταναλωτών που συνδέονται με πληρωμές, ταυτότητα και προσωπικές συσκευές. Η Google βρισκόταν στην τρίτη θέση με 9%, ενώ η Amazon κατελάμβανε την τέταρτη θέση με 7%». Αυτές είναι οι μάρκες που είναι πιο πιθανό να υποστούν παραβίαση σε επιθέσεις μέσω email.
Μόνο αυτές οι τέσσερις μάρκες «αντιπροσώπευαν σχεδόν το 50% όλων των παρατηρηθέντων περιστατικών phishing» το τελευταίο τρίμηνο, κάτι που, σύμφωνα με την Checkpoint, «υπογραμμίζει τη μεγάλη συγκέντρωση γύρω από έναν μικρό αριθμό παγκοσμίως αναγνωρισμένων πλατφορμών».
Εάν διαγράψετε τους κωδικούς πρόσβασης από τους λογαριασμούς σας και μεταβείτε στη χρήση κλειδιών πρόσβασης (passkeys), δεν χρειάζεται να ανησυχείτε ότι θα χαλαρώσετε την προσοχή σας και θα πέσετε θύμα μιας από αυτές τις επιθέσεις. Ωστόσο, εάν δεν το έχετε κάνει ακόμη, εάν ο λογαριασμός σας προστατεύεται μόνο από ένα όνομα χρήστη και έναν κωδικό πρόσβασης και ίσως έναν κωδικό ασφαλείας μέσω SMS, τότε βρίσκεστε πλέον στο στόχαστρο αυτών των επιτιθέμενων.
