Kaspersky: Fišing koji zloupotrebljava Microsoft-ov mehanizam za autentifikaciju
Kompanija Kaspersky objavila je izveštaj o fišing kampanji u kojoj napadači zloupotrebljavaju Microsoftov mehanizam za autentifikaciju. Kampanja je trajala od početka aprila do sredine maja 2026. godine i bila je predstavljena kao obaveštenje advokatske kancelarije. Cilj napada bio je krađa akreditiva korisnika i pristup njihovim podacima. Kaspersky je ranije upozoravao i na fišing kampanje koje su zloupotrebljavale Google Tasks, Google Forms, Bubble i Amazon Simple Email Service.
Microsoftov mehanizam za autentifikaciju – OAuth 2.0 Device Authorization Grant – omogućava korisnicima da se prijave na svoje Microsoft naloge na uređajima sa ograničenim mogućnostima unosa, poput pametnih televizora, tako što na drugom uređaju, kao što su pametni telefon ili računar, unesu jednokratni kod ili skeniraju QR kod. Iako ovaj mehanizam značajno olakšava prijavljivanje, on istovremeno otvara mogućnost napadačima da zloupotrebe tok autentifikacije, preuzmu korisničke naloge i zadrže pristup zahvaljujući ukradenim tokenima za osvežavanje sesije (refresh tokenima).
Napadači su žrtvama slali imejl poruke predstavljajući ih kao zvaničnu komunikaciju advokatske kancelarije, uz koje je bio priložen PDF dokument zaštićen lozinkom. Nakon otvaranja PDF-a i unosa lozinke, korisnicima se prikazivala veb stranica sa spiskom dokumenata. Za pregled tih dokumenata bilo je potrebno kliknuti na ponuđeni link, koji je vodio na legitimnu Microsoftovu adresu. Međutim, parametri URL-a bili su podešeni tako da nakon otvaranja Microsoftove stranice automatski preusmere korisnika na fišing resurs.
Link u dokumentu preusmerava korisnika sa Microsoft platforme na fišing stranicu osmišljenu da imitira portal za pregled pravne dokumentacije
Fišing stranica
Fišing stranica sadržala je više CAPTCHA provera, koje su, po svemu sudeći, bile postavljene kako bi se onemogućio pristup bezbednosnim botovima koji automatski proveravaju veb lokacije u potrazi za pretnjama. Nakon uspešno završenih CAPTCHA provera, korisnik je preusmeravan na završnu stranicu sa uputstvom da kopira jednokratni kod. Reč je o kodu koji su napadači prethodno pribavili pokretanjem procesa prijavljivanja sa svoje strane.
Jednokratni kod prikazan na fišing stranici
Klikom na prikazani jednokratni kod on se automatski kopirao u privremenu memoriju (clipboard), dok je korisnik istovremeno bio preusmeren na zvaničnu Microsoftovu stranicu za autentifikaciju, gde je trebalo da se unese kopirani kod.
Preusmeravanje na zvaničnu Microsoftovu stranicu za autentifikaciju
Nakon što bi korisnik uneo kod, postupak višefaktorske autentifikacije (MFA) bio bi uspešno završen, a napadači bi preuzeli tokene aktivne sesije. To im je omogućavalo da čitaju i šalju imejl poruke iz poštanskog sandučeta žrtve, preuzimaju datoteke sa OneDrive-a i pristupaju razgovorima u aplikaciji Teams.
„Akteri sajber pretnji ne oslanjaju se uvek na krađu korisničkih akreditiva ili instaliranje zlonamernog softvera kako bi došli do osetljivih podataka – oni mogu zloupotrebiti i potpuno legitimne alate. Zato korisnici moraju biti oprezni ne samo prilikom posete sumnjivim veb lokacijama, već i kada koriste zvanične platforme. Preporučujemo timovima zaduženim za informacionu bezbednost da procene da li je funkcionalnost Device Code Flow zaista neophodna u njihovoj korporativnoj infrastrukturi. Ukoliko ovaj mehanizam autentifikacije nije potreban za svakodnevno poslovanje, trebalo bi ga onemogućiti“, izjavio je Roman Dedenok, Anti-Spam ekspert u kompaniji Kaspersky.
Detaljnije informacije dostupne su u izveštaju objavljenom na Securelist.
Kako bi uspostavile sveobuhvatnu zaštitu od napada tipa Device Code Phishing, organizacije bi trebalo da primene napredna rešenja za zaštitu elektronske pošte. Za poslovne korisnike, Kaspersky Security for Mail Server, zahvaljujući višeslojnom sistemu zaštite zasnovanom na algoritmima mašinskog učenja, pruža efikasnu odbranu od širokog spektra savremenih sajber pretnji i omogućava kompanijama veću sigurnost u uslovima sve složenijih sajber rizika. Za individualne korisnike, Kaspersky Premium nudi funkcije za zaštitu od fišinga zasnovane na veštačkoj inteligenciji, osmišljene da pomognu u prepoznavanju i izbegavanju fišing napada, kao i unapređenju ukupne sajber bezbednosti.
The post Kaspersky: Fišing koji zloupotrebljava Microsoft-ov mehanizam za autentifikaciju appeared first on IT Resenja.
7/9/2026 6:37:15 AM