Security

Kampania phishingowa AiTM atakuje użytkowników Microsoft 365

3 min czytania

Podsumowanie

Microsoft opisał zakrojoną na szeroką skalę kampanię phishingową adversary-in-the-middle (AiTM), która wykorzystywała fałszywe dochodzenia dotyczące kodeksu postępowania do kradzieży tokenów uwierzytelniania. Atak łączył dopracowaną inżynierię społeczną, etapowe strony CAPTCHA oraz legalny przepływ logowania Microsoft, pokazując, dlaczego ochrona odporna na phishing i silniejsze zabezpieczenia poczty są tak ważne.

Potrzebujesz pomocy z Security?Porozmawiaj z ekspertem

Wprowadzenie

Microsoft wykrył zaawansowaną kampanię phishingową, która objęła ponad 35 000 użytkowników w przeszło 13 000 organizacji w 26 krajach. Dla administratorów Microsoft 365 i zabezpieczeń ma to znaczenie, ponieważ atak wykorzystywał technikę adversary-in-the-middle (AiTM) do przechwytywania tokenów uwierzytelniania, co może ominąć MFA nieodporne na phishing i dać atakującym natychmiastowy dostęp do kont.

Co nowego

Między 14 a 16 kwietnia 2026 r. Microsoft zaobserwował wieloetapową operację phishingową wykorzystującą przynęty związane z kodeksem postępowania i wewnętrzną zgodnością. Wiadomości zaprojektowano tak, aby przypominały legalną komunikację wewnętrzną, i wysyłano je jako uwierzytelnione e-maile z domen kontrolowanych przez atakujących za pośrednictwem legalnej usługi dostarczania poczty e-mail.

Kluczowe cechy kampanii obejmowały:

  • Dopracowane e-maile o tematyce zgodności z pilnymi tematami dotyczącymi niewłaściwego zachowania pracowników lub przypadków braku zgodności
  • Załączniki PDF, które instruowały odbiorców, aby zapoznali się z materiałami sprawy
  • Wiele etapowych stron obejmujących kontrole CAPTCHA i pośrednie kroki „weryfikacji”
  • Końcowy monit logowania Microsoft osadzony w przepływie AiTM w celu przechwycenia tokenów sesji
  • Szeroki wpływ na wiele branż, szczególnie Healthcare, Financial Services, Professional Services i Technology

Microsoft poinformował, że większość ofiar znajdowała się w Stanach Zjednoczonych, ale kampania dotknęła organizacje na całym świecie.

Dlaczego ten atak jest istotny

W przeciwieństwie do prostego phishingu poświadczeń, ataki AiTM pośredniczą w sesji uwierzytelniania w czasie rzeczywistym. Oznacza to, że nawet gdy użytkownicy ukończą MFA, atakujący nadal mogą przechwycić tokeny i ponownie użyć ich do uzyskania dostępu do kont.

Ta kampania pokazuje również, jak ewoluują taktyki phishingowe:

  • Atakujący używali szablonów HTML w stylu korporacyjnym, aby zwiększyć wiarygodność
  • Wykorzystywali presję czasu i oskarżenia w stylu HR, aby wymusić szybką reakcję
  • Strony CAPTCHA i strony etapowe pomagały filtrować zautomatyzowaną analizę zabezpieczeń
  • Końcowy przepływ logowania wyglądał na tyle wiarygodnie, że ograniczał podejrzenia użytkowników

Wpływ na administratorów IT

Zespoły bezpieczeństwa powinny potraktować to jako przypomnienie, że sama świadomość użytkowników nie wystarcza. Organizacje potrzebują warstwowej ochrony w obszarach poczty e-mail, tożsamości, endpointów i ochrony sieci Web.

Administratorzy powinni przejrzeć:

  • Konfiguracje Exchange Online Protection i Microsoft Defender for Office 365
  • Zasady antyphishingowe oraz ochronę przed podszywaniem się
  • Obsługę SmartScreen w zarządzanych przeglądarkach
  • Network protection w Windows do blokowania złośliwych lokalizacji Web
  • Zakres wykrywania i reagowania dla podejrzanej aktywności logowania oraz nadużyć tokenów

Zalecane kolejne kroki

Zespoły IT powinny podjąć następujące działania:

  1. Edukować użytkowników na temat przynęt phishingowych związanych z HR, zgodnością i regulacjami
  2. Prowadzić symulacje phishingowe przy użyciu attack simulation training w Microsoft Defender for Office 365
  3. Wzmocnić ustawienia zabezpieczeń poczty e-mail i przejrzeć rekomendacje zasad w portalu zabezpieczeń Microsoft
  4. Nadawać priorytet uwierzytelnianiu odpornemu na phishing tam, gdzie to możliwe
  5. Szukać wskaźników naruszenia i badać nietypowe zachowanie sesji powiązane ze zdarzeniami logowania

Ta kampania wzmacnia kluczową lekcję bezpieczeństwa: nowoczesny phishing nie dotyczy już wyłącznie haseł. Ochrona przed kradzieżą tokenów wymaga silniejszej ochrony tożsamości, lepszych zabezpieczeń poczty e-mail i ciągłej edukacji użytkowników.

Potrzebujesz pomocy z Security?

Nasi eksperci pomogą Ci wdrożyć i zoptymalizować rozwiązania Microsoft.

Porozmawiaj z ekspertem

Bądź na bieżąco z technologiami Microsoft

Przeczytaj oryginalny artykuł autorstwa Microsoft Defender Security Research Team and Microsoft Threat Intelligence
AiTM phishingMicrosoft 365 securitytoken theftMicrosoft Defender for Office 365phishing campaign

Powiązane artykuły

Security

Kampania ClickFix macOS dostarcza infostealery

Microsoft zidentyfikował nową kampanię w stylu ClickFix wymierzoną w użytkowników macOS, wykorzystującą fałszywe instrukcje rozwiązywania problemów i instalacji narzędzi publikowane na blogach oraz platformach z treściami. Zamiast pobierania aplikacji ofiary są nakłaniane do uruchamiania poleceń w Terminal, które omijają typowe kontrole aplikacji w macOS i wdrażają infostealery, takie jak Macsync, SHub Stealer i AMOS.

Security

CVE-2026-31431 w Linux: zagrożenie root

Microsoft opisał CVE-2026-31431, lukę Linux o wysokiej wadze, umożliwiającą lokalne podniesienie uprawnień do root w głównych dystrybucjach i obciążeniach hostowanych w chmurze. Problem jest istotny, ponieważ wpływa na środowiska współdzielące kernel, takie jak kontenery i Kubernetes, zwiększając ryzyko ucieczki z kontenera, ruchu lateralnego i przejęcia hosta, jeśli systemy nie zostaną szybko załatane.

Security

Microsoft Agent 365 GA z kontrolą AI i zabezpieczeniami

Microsoft Agent 365 jest już ogólnie dostępny dla klientów komercyjnych, zapewniając zespołom IT i bezpieczeństwa ujednoliconą płaszczyznę kontroli do obserwowania, zarządzania i zabezpieczania agentów AI w środowiskach Microsoft 365, na endpointach i w chmurze. Nowe funkcje w public preview rozszerzają także widoczność o shadow AI, lokalnych agentów Windows, wielochmurowe platformy agentów oraz mechanizmy kontroli oparte na zasadach przez Defender i Intune.

Security

Krajobraz zagrożeń email Q1 2026: Microsoft

Microsoft informuje o wykryciu 8,3 miliarda phishingowych wiadomości email w Q1 2026, przy ponad dwukrotnym wzroście phishingu z użyciem kodów QR i szybko ewoluujących kampaniach z CAPTCHA. Te ustalenia są ważne dla zespołów bezpieczeństwa, ponieważ atakujący coraz częściej stawiają na kradzież poświadczeń opartą na linkach, a działania zakłócające przeciwko Tycoon2FA pokazują, że skoordynowane akcje mogą ograniczyć skutki phishingu.

Security

Aktualizacje Microsoft Security dla Agent 365

Microsoft ogłosił nowe funkcje zabezpieczeń w usługach Agent 365, Defender for Cloud, GitHub Advanced Security i Microsoft Purview. Aktualizacje koncentrują się na poprawie widoczności aktywności agentów AI, wzmocnieniu ochrony od kodu do środowiska uruchomieniowego oraz przyspieszeniu dochodzeń związanych z bezpieczeństwem danych dla zespołów IT i security.

Security

{{Przeglądy ryzyka CISO: 8 praktyk Microsoft}}

{{Microsoft opublikował praktyczne ramy dla CISO i liderów bezpieczeństwa, które pomagają prowadzić skuteczniejsze przeglądy ryzyka w obliczu rosnących cyberzagrożeń wspieranych przez AI. Wskazówki koncentrują się na ośmiu obszarach przeglądu — od zasobów i aplikacji po uwierzytelnianie, autoryzację i izolację sieci — aby pomóc organizacjom przejść od reaktywnej odpowiedzi do proaktywnej redukcji ryzyka.}}