FBI ostrzega przed przejmowaniem kont Microsoft 365. Bez kradzieży haseł

Federalne Biuro Śledcze (FBI) wydało komunikat (PSA) dotyczący wykrytej w kwietniu br. platformy phishing-as-a-service o nazwie Kali365. Miała być dystrybuowana głównie za pośrednictwem Telegrama. Jej działanie polegało na przejmowaniu dostępu do kont Microsoft 365 poprzez pozyskiwanie tokenów dostępowych, z pominięciem mechanizmów uwierzytelniania wieloskładnikowego (MFA) i bez konieczności wykradania haseł użytkowników.

Phishing w modelu subskrypcyjnym

W tym miejscu warto przypomnieć różnice między phishingiem, platformą phishingową i phishingiem-as-a-service (PhaaS).

Phishing jest rodzajem oszustwa polegającym na podszywaniu się przez przestępcę pod zaufaną osobę, instytucję lub firmę w celu wyłudzenia danych, pieniędzy albo dostępu do konta. W tym przypadku przestępcy podawali się za dostawcę usługi chmurowej.

Platforma phishingowa to zestaw narzędzi lub infrastruktura używana do tworzenia, hostowania i obsługi takich oszustw. Kali365 zapewniał zautomatyzowane szablony kampanii, AI do tworzenia treści phishingowych, a nawet panel do śledzenia aktywności ofiar w czasie rzeczywistym.

Wszystko to miało służyć przechwytywaniu tokenów „OAuth” - cyfrowych „przepustek”, które pozwalają aplikacji uzyskać dostęp do wybranych zasobów użytkownika bez poznawania jego hasła. Platforma phishingowa może zawierać także gotowe fałszywe strony logowania, domeny podobne do prawdziwych i mechanizmy utrudniające wykrycie przez filtry bezpieczeństwa.

Phishing-as-a-Service (PhaaS, to „usługa” dla cyberprzestępców, w tym przypadku polegający na udostępnianiu platformy w formie abonamentu. Subskrybenci otrzymywali gotowe narzędzie do prowadzenia kampanii phishingowych, obniżając „próg wejścia”. Oznacza to tyle. że do przeprowadzenia takiego ataku nie jest potrzebna zaawansowana wiedza techniczna - narzędzie jest gotowe do użycia.

Phishing bez kradzieży hasła

FBI w komunikacie przedstawiło cały proces oszustwa wykorzystywany przez twórców platformy.

Zaczyna się od wiadomości e-mail, w której przestępca podszywa się pod dostawcę usługi chmurowej. W treści wiadomości instruuje ofiarę, aby odwiedziła (faktyczną) stronę weryfikacyjną Microsoftu i wprowadziła (faktyczny) kod urządzenia. Nie jest to kod MFA, ten został wygenerowany w ramach procesu logowania rozpoczętego wcześniej przez atakującego, który próbuje uzyskać dostęp do konta za pomocą mechanizmu „OAuth”.

Gdy ofiara wpisze kod i zatwierdzi logowanie, Microsoft wydaje tokeny aplikacji lub klientowi, który rozpoczął cały proces, czyli w tym przypadku atakującemu.

„Atakujący może teraz uzyskać dostęp do usług Microsoft 365, takich jak Outlook, Teams i OneDrive, bez konieczności podawania hasła lub wykonywania dodatkowych wyzwań uwierzytelniania wieloskładnikowego” - czytamy w komunikacie.

Jak ograniczyć ryzyko

FBI zaleca przeprowadzenie audytu, czyli sprawdzenie w logach, czy użytkownicy rzeczywiście potrzebują logowania kodem urządzenia. W zależności od wyników audytu można wprowadzić całkowitą blokadę tego trybu logowania albo ograniczyć jego użycie wyłącznie do jasno uzasadnionych przypadków.

Sugeruje ono także zablokowanie „Authentication transfer”, czyli mechanizmu pozwalającego przenieść zalogowaną sesję z jednego urządzenia na drugie, np. z komputera na telefon przez kod QR, bez ponownego logowania od zera. Ma to ograniczyć możliwość przenoszenia dostępu między komputerami a urządzeniami mobilnymi, zwłaszcza jeśli nie są one zarządzane przez organizację.

W przypadku, gdy przepływ kodu urządzenia jest konieczny i nie można go całkowicie zablokować, zalecane jest pozostawienie awaryjnego konta administratora, które nie zostanie przypadkowo objęte blokadą.