Η Microsoft αποτελεί βασικό στόχο για κακόβουλους παράγοντες κάθε τύπου, με επιθέσεις που κυμαίνονται από σύνθερους ιούς και worms μέχρι απλές προσπάθειες κλοπής διαπιστευτηρίων. Στην τρέχουσα αύξηση επιθέσεων σε λογαριασμούς Microsoft 365, ύποπτοι χάκερ που συνδέονται με την Κίνα και τη Ρωσία φαίνεται να χρησιμοποιούν τεχνικές phishing μέσω κωδικών συσκευής, εκμεταλλευόμενοι τη ροή εξουσιοδότησης συσκευών της Microsoft.
Microsoft: Μέθοδος phishing μέσω κωδικών συσκευής
Η μέθοδος κλοπής διαπιστευτηρίων δεν είναι νέα, αλλά η τρέχουσα χρήση της από πολλαπλές ομάδες χάκερ, μερικές από τις οποίες συνδέονται με κράτη, είναι αξιοσημείωτη. Σύμφωνα με την ομάδα ανάλυσης Proofpoint, από τον Ιανουάριο του 2025 έχουν παρατηρηθεί πολλοί state-aligned hackers που εκμεταλλεύονται το OAuth device code authorization για takeover λογαριασμών. Η τεχνική αυτή έχει χρησιμοποιηθεί ευρέως από ρωσικά δίκτυα, ενώ έχουν παρατηρηθεί και ύποπτες κινήσεις που σχετίζονται με Κίνα.
Πώς λειτουργεί η επίθεση
Οι κακόβουλες εκστρατείες ξεκινούν με ένα μήνυμα που περιέχει URL είτε πίσω από κουμπί, QR code ή απλό link. Η επίσκεψη στον ιστότοπο ενεργοποιεί τη διαδικασία phishing, χρησιμοποιώντας τη νόμιμη διαδικασία εξουσιοδότησης της Microsoft. Ο χρήστης λαμβάνει έναν κωδικό συσκευής, τον οποίο εισάγει στο URL επιβεβαίωσης της Microsoft. Μόλις εισαχθεί ο κωδικός, το αρχικό token εγκρίνεται και ο χάκερ αποκτά πρόσβαση στον λογαριασμό Microsoft 365.
Προτάσεις ασφάλειας
Ο Microsoft Defender για το Office 365 εντοπίζει κακόβουλα emails, αρχεία HTML και άλλα στοιχεία που σχετίζονται με επιθέσεις device code phishing. Το Proofpoint προτείνει τη δημιουργία πολιτικής conditional access που μπλοκάρει τη ροή κωδικών συσκευής όπου είναι δυνατόν και την εφαρμογή allow-list σε άλλες περιπτώσεις. Όπως πάντα, η προσοχή στο phishing, συμπεριλαμβανομένων των αιτήσεων 2FA για χρήστες Microsoft 365, είναι κρίσιμη.
