Kompanija Kaspersky objavila je izveštaj o fišing kampanji u kojoj napadači zloupotrebljavaju Microsoftov mehanizam za autentifikaciju. Kampanja je trajala od početka aprila do sredine maja 2026. godine i bila je predstavljena kao obaveštenje advokatske kancelarije. Cilj napada bio je krađa akreditiva korisnika i pristup njihovim podacima. Kaspersky je ranije upozoravao i na fišing kampanje koje su zloupotrebljavale Google Tasks, Google Forms, Bubble i Amazon Simple Email Service.

Microsoftov mehanizam za autentifikaciju – OAuth 2.0 Device Authorization Grant – omogućava korisnicima da se prijave na svoje Microsoft naloge na uređajima sa ograničenim mogućnostima unosa, poput pametnih televizora, tako što na drugom uređaju, kao što su pametni telefon ili računar, unesu jednokratni kod ili skeniraju QR kod. Iako ovaj mehanizam značajno olakšava prijavljivanje, on istovremeno otvara mogućnost napadačima da zloupotrebe tok autentifikacije, preuzmu korisničke naloge i zadrže pristup zahvaljujući ukradenim tokenima za osvežavanje sesije (refresh tokenima).

Napadači su žrtvama slali imejl poruke predstavljajući ih kao zvaničnu komunikaciju advokatske kancelarije, uz koje je bio priložen PDF dokument zaštićen lozinkom. Nakon otvaranja PDF-a i unosa lozinke, korisnicima se prikazivala veb stranica sa spiskom dokumenata. Za pregled tih dokumenata bilo je potrebno kliknuti na ponuđeni link, koji je vodio na legitimnu Microsoftovu adresu. Međutim, parametri URL-a bili su podešeni tako da nakon otvaranja Microsoftove stranice automatski preusmere korisnika na fišing resurs.

Link u dokumentu preusmerava korisnika sa Microsoft platforme na fišing stranicu osmišljenu da imitira portal za pregled pravne dokumentacije

Ostavite komentar

Vaša adresa e-pošte neće biti objavljena. Neophodna polja su označena *

Pre slanja komentara, pogledajte i upoznajte se sa uslovima i pravima korišćenja.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

The reCAPTCHA verification period has expired. Please reload the page.