FBI advarer om at en ny hackerplattform tillater nettkriminelle å kapre Microsoft 365-kontoer – inkludert Outlook, Teams og OneDrive – mens de helt omgår multifaktorautentisering.
Byrået la ut en offentlig tjenestekunngjøring i forrige uke og slo alarm om «phishing-as-a-service»-verktøysettet kjent som Kali365, som brukes til å stjele Microsoft 365-tilgangstokener og få tilgang til offerkontoer uten å avskjære passord.
FB sier at Kali365 gjør det enkelt for selv amatørhackere å kjøre avansert phishing-svindel som pleide å kreve seriøse tekniske ferdigheter.
«Kali365 senker adgangsbarrieren, og gir mindre tekniske angripere tilgang til AI-genererte phishing-lokker, automatiserte kampanjemaler, sanntidsmålrettede dashboards for individ-/enhetssporing og OAuth-tokenfangstfunksjoner,» advarte FBI.
Ordningen utnytter Microsofts legitime OAuth 2.0 «enhetskode» autentiseringssystem – en funksjon som vanligvis brukes til å logge på smart-TVer, strømmeenheter og annen maskinvare med begrenset tastatur.
I stedet for å stjele passord direkte, lurer angripere ofrene til å skrive inn en kode på en ekte Microsoft-påloggingsside, og uvitende autoriserer hackerens enhet.
«Enhetskodeflyten er en legitim autentiseringsmetode som aktivt utnyttes av nettkriminelle for å omgå multifaktorautentisering,» sa FBI i sin rådgivning.
«Ved å lure brukere til å skrive inn en enhetskode på en legitim Microsoft-side, kan angripere få vedvarende tilgang til kontoer uten noen gang å trenge brukerens legitimasjon.»
Ofre mottar phishing-e-poster som etterligner tjenester som SharePoint, OneDrive eller Microsoft Teams.
E-postene instruerer mål om å besøke Microsofts legitime enhetspåloggingsside og angi en kortvarig autentiseringskode.
Når offeret har fullført prosessen og bestått MFA-sjekker, utsteder Microsoft gyldig OAuth-tilgang og oppdateringstokener direkte til angriperen.
Det lar hackere få tilgang til Outlook-innbokser, Teams-kontoer og skylagrede filer uten å måtte trenge offerets passord igjen.
FBI advarte om at angripere kan opprettholde vedvarende tilgang til kontoer inntil de stjålne tokenene blir tilbakekalt manuelt.
Matt Burk, sjef for informasjonssikkerhet ved Bespoke Concierge MD, fortalte The Post at angrepene har blitt stadig mer effektive fordi Microsofts utbredte håndhevelse av multifaktorautentisering har tvunget nettkriminelle til å tilpasse seg.
«Siden Microsoft har håndhevet MFA globalt, er denne metoden for cyberangrep designet for å omgå MFA og behovet for et passord,» sa han.
På spørsmål om hvilke bransjer eller ansatte som er mest sårbare, advarte Burk om at praktisk talt alle som bruker Microsoft 365 kan bli målrettet.
«Jeg hater absolutt å generalisere, men alle fra en liten mor-og-pop-bedrift til et stort Fortune 500-selskap,» sa han.
Burk la til at organisasjoner bør distribuere tredjeparts sikkerhetsinformasjon og hendelsesadministrasjon, eller SIEM, systemer som er i stand til å oppdage mistenkelig autentiseringsaktivitet knyttet til token-tyveri.
«Å bruke disse verktøyene kan oppdage tilgang som Kali365-utnyttelsen og med de riktige sikkerhetsfunksjonene kan du automatisk slå av forbindelsen,» sa han.
Vanlige brukere bør ta trusselen på alvor fordi angrepene retter seg mot skybaserte dataplattformer som brukes daglig av både bedrifter og forbrukere, ifølge eksperten.
«Alle burde være opptatt av denne utnyttelsen,» sa Burk.
Cybersikkerhetsforskere sier at fremveksten av Kali365 markerer en stor eskalering i den voksende «phishing-as-a-service» undergrunnsøkonomien, der sofistikerte angrepsverktøy selges til lavkvalifiserte kriminelle via abonnementstjenester på Telegram og mørke nettfora.
Byrået sa at Kali365 ble observert for første gang i forrige måned og har raskt spredt seg blant nettkriminelle grupper.
Plattformen automatiserer phishing-kampanjer og gir dashboards som lar angripere overvåke ofre i sanntid.
Føderale myndigheter sa at operasjonen er en del av en bredere bølge av angrep rettet mot Microsoft 365-miljøer globalt.
Scattered Spider, også kjent som Octo Tempest, er en beryktet engelsktalende nettkriminalitetsgruppe kjent for aggressiv sosial ingeniørkunst og SIM-bytteangrep rettet mot store selskaper.
En annen enhet, Storm-2949, har fokusert på å kompromittere IT-administratorer og toppledere gjennom misbruk av Microsoft-systemer for tilbakestilling av passord og skyautentiseringsverktøy.
The Post har søkt kommentar fra Microsoft.
