Security

AiTM phishing-kampagne rammer Microsoft 365-brugere

3 min læsning

Resumé

Microsoft har beskrevet en storstilet adversary-in-the-middle (AiTM) phishing-kampagne, der brugte falske undersøgelser af adfærdskodeks til at stjæle autentificeringstokens. Angrebet kombinerede veludført social engineering, iscenesatte CAPTCHA-sider og et legitimt Microsoft-sign-in-flow, hvilket understreger, hvorfor phishing-resistente beskyttelser og stærkere e-mailforsvar er vigtige.

Brug for hjælp med Security?Tal med en ekspert

Introduktion

Microsoft har afdækket en sofistikeret phishing-kampagne, der ramte mere end 35.000 brugere på tværs af over 13.000 organisationer i 26 lande. For Microsoft 365- og sikkerhedsadministratorer er dette vigtigt, fordi angrebet brugte en adversary-in-the-middle (AiTM)-teknik til at opsnappe autentificeringstokens, som kan omgå MFA, der ikke er phishing-resistent, og give angribere øjeblikkelig adgang til konti.

Hvad er nyt

Mellem 14. og 16. april 2026 observerede Microsoft en phishing-operation i flere faser, der brugte lokkemidler om adfærdskodeks og intern compliance. Beskederne var udformet til at ligne legitim intern kommunikation og blev sendt som autentificerede e-mails fra angriberkontrollerede domæner via en legitim e-mailleveringstjeneste.

Vigtige kendetegn ved kampagnen omfattede:

  • Veludførte compliance-temaede e-mails med presserende emnelinjer om medarbejdermisbrug eller manglende overholdelse
  • PDF-vedhæftninger med instruktion om at gennemgå sagsmateriale
  • Flere iscenesatte sider inklusive CAPTCHA-kontroller og mellemliggende "verificerings"-trin
  • En afsluttende Microsoft sign-in-prompt indlejret i et AiTM-flow for at opsnappe sessionstokens
  • Bred påvirkning på tværs af brancher, især Healthcare, Financial Services, Professional Services og Technology

Microsoft oplyste, at de fleste ofre befandt sig i USA, men kampagnen ramte organisationer globalt.

Hvorfor dette angreb er vigtigt

I modsætning til almindelig credential phishing proxier AiTM-angreb autentificeringssessionen i realtid. Det betyder, at selv når brugere gennemfører MFA, kan angribere stadig opsnappe tokens og genbruge dem til at få adgang til konti.

Denne kampagne viser også, hvordan phishing-taktikker udvikler sig:

  • Angribere brugte HTML-skabeloner i enterprise-stil for at øge troværdigheden
  • De udnyttede tidspres og HR-lignende anklager til at fremtvinge hurtig handling
  • CAPTCHA- og iscenesættelsessider hjalp med at filtrere automatiseret sikkerhedsanalyse
  • Det afsluttende sign-in-flow så legitimt nok ud til at reducere brugernes mistanke

Konsekvenser for IT-administratorer

Sikkerhedsteams bør se dette som en påmindelse om, at brugerbevidsthed alene ikke er nok. Organisationer har brug for lagdelte forsvar på tværs af e-mail, identitet, endpoint og webbeskyttelse.

Administratorer bør gennemgå:

  • Konfigurationer for Exchange Online Protection og Microsoft Defender for Office 365
  • Anti-phishing-politikker og beskyttelse mod efterligning
  • Understøttelse af SmartScreen i administrerede browsere
  • Network protection i Windows til blokering af skadelige webdestinationer
  • Dækning for detektion og respons ved mistænkelig sign-in-aktivitet og misbrug af tokens

Anbefalede næste skridt

IT-teams bør tage følgende skridt:

  1. Uddan brugere om phishing-lokkemidler relateret til HR, compliance og regulering
  2. Kør phishing-simuleringer med attack simulation training i Microsoft Defender for Office 365
  3. Styrk e-mail-sikkerhedsindstillinger og gennemgå politik-anbefalinger i Microsofts sikkerhedsportal
  4. Prioritér phishing-resistent autentificering hvor det er muligt
  5. Jagt indikatorer på kompromittering og undersøg usædvanlig sessionsadfærd knyttet til sign-in-hændelser

Denne kampagne understreger en central sikkerhedslæring: Moderne phishing handler ikke længere kun om adgangskoder. Forsvar mod token-tyveri kræver stærkere identitetsbeskyttelse, bedre e-mail-sikkerhed og løbende brugeruddannelse.

Brug for hjælp med Security?

Vores eksperter kan hjælpe dig med at implementere og optimere dine Microsoft-løsninger.

Tal med en ekspert

Hold dig opdateret om Microsoft-teknologier

Læs den originale artikel af Microsoft Defender Security Research Team and Microsoft Threat Intelligence
AiTM phishingMicrosoft 365 securitytoken theftMicrosoft Defender for Office 365phishing campaign

Relaterede indlæg

Security

ClickFix macOS-kampagne spreder infostealers

Microsoft har identificeret en ny ClickFix-lignende kampagne, der rammer macOS-brugere med falske fejlfindings- og utility-instruktioner hostet på blogs og indholdsplatforme. I stedet for at downloade apps bliver ofre narret til at køre Terminal-kommandoer, som omgår typiske macOS-appkontroller og installerer infostealers som Macsync, SHub Stealer og AMOS.

Security

CVE-2026-31431 Linux-sårbarhed forklaret

Microsoft har beskrevet CVE-2026-31431, en alvorlig lokal privilege escalation-sårbarhed i Linux, som kan give root-adgang på tværs af store distributioner og cloud-hostede workloads. Problemet er vigtigt, fordi det påvirker miljøer med delt kernel som containere og Kubernetes, hvilket øger risikoen for container escape, lateral movement og kompromittering af værter, hvis systemer ikke patches hurtigt.

Security

Microsoft Agent 365 GA med AI- og sikkerhedskontrol

Microsoft Agent 365 er nu generelt tilgængelig for kommercielle kunder og giver IT- og sikkerhedsteams en samlet kontrolflade til at observere, styre og sikre AI-agenter på tværs af Microsoft 365, endpoints og cloudmiljøer. Nye preview-funktioner udvider også synligheden til shadow AI, lokale Windows-agenter, multicloud-agentplatforme og policybaserede kontroller via Defender og Intune.

Security

E-mailtrusselslandskab Q1 2026: Microsoft-indsigter

Microsoft rapporterer 8,3 milliarder registrerede phishingmails i Q1 2026, mens QR-kode-phishing mere end fordobledes, og kampagner med CAPTCHA-gating udvikler sig hurtigt. Resultaterne er vigtige for sikkerhedsteams, fordi angribere i stigende grad går efter linkbaseret tyveri af legitimationsoplysninger, mens indsatsen mod Tycoon2FA viser, at koordinerede tiltag kan reducere phishingens effekt.

Security

Microsoft Security-opdateringer til Agent 365

Microsoft har annonceret nye sikkerhedsfunktioner på tværs af Agent 365, Defender for Cloud, GitHub Advanced Security og Microsoft Purview. Opdateringerne fokuserer på at forbedre synligheden i AI-agentaktivitet, styrke beskyttelsen fra kode til runtime og accelerere datasikkerhedsundersøgelser for sikkerheds- og IT-teams.

Security

CISO-risikogennemgange: 8 bedste praksisser

Microsoft har offentliggjort en praktisk ramme, der hjælper CISOs og sikkerhedsledere med at gennemføre mere effektive risikogennemgange i takt med stigende AI-understøttede cybertrusler. Vejledningen fokuserer på otte gennemgangsområder – fra aktiver og applikationer til autentificering, autorisation og netværksisolering – for at hjælpe organisationer med at gå fra reaktiv respons til proaktiv risikoreduktion.