Cyberprzestępcy wykorzystali platformę Tycoon 2FA i opracowali nową metodę przejmowania kont Microsoft 365 (M365). Atak wykorzystuje technikę – device code phishing. Pozwala ona na ominięcie zabezpieczenia MFA (Multi Factor Authentication) bez kradzieży samego hasła.

Wszystko zaczyna się od tego, że ofiara dostaje wiadomość e-mail z załącznikiem udającym dokument np. firmowy lub powiadomienie z Microsoft 365. Po kliknięciu linku użytkownik zostaje przeniesiony na stronę instruującą go, aby wpisał kod na prawdziwej stronie microsoft.com / devicelogin. Największym problemem jest to, że skoro logowanie odbywa się w legalnym serwisie Microsoftu, wiele osób nie podejrzewa oszustwa i daje się zmanipulować atakującemu.

Źródło: Bleeping Computer

Po zautoryzowaniu kodu atakujący uzyskują token dostępu do konta. Dzięki temu mogą przejąć kluczowe usługi jak poczta, onedrive itp, a w przypadku firm i instytucji, także newralgiczne dokumenty. Eksperci podkreślają, że metoda działa nawet przy włączonym uwierzytelnianiu wieloskładnikowym – zatem nie jest to rozwiązanie wystarczające do ochrony konta, a przynajmniej w kwestii tego ataku.

Źródło: https://www.bleepingcomputer.com/news/security/tycoon2fa-hijacks-microsoft-365-accounts-via-device-code-phishing/