A Microsoft biztonsági kutatói egy rendkívül kifinomult, többlépéses adathalász-kampányt lepleztek le, amelynek során a támadók belső céges kommunikációt utánozva csaptak be több tízezer munkavállalót. A közbeékelődéses adathalász-támadás azért különösen veszélyes, mert még a kétlépéses azonosítást is megkerüli.
Április 14. és 16. között csupán két nap alatt több mint 35 000 felhasználó fiókadatait lopták el 26 ország 13 000 szervezetéből. A közbeékelődéses adathalász-kampány mögött álló bűnözők nem jelszavakat, hanem bejelentkezési munkamenet-tokeneket szereztek meg – és ezzel az áldozatok kétlépéses azonosítása is érvénytelenné vált.
Hogyan működött a támadás?
A támadók gondosan kidolgozott, vállalati stílusú HTML-sablonokat használtak, amelyek megjelenésükben és szerkezetükben megtévesztően hasonlítottak a belső céges kommunikációra – ezzel hitelesebbé tették az üzeneteket, mint a szokásos adathalász levelek. A feladók neve olyan megjelöléseket tartalmazott, mint „Belső szabályozási COC” vagy „Munkaerő-kommunikáció”, a tárgysor pedig nem-megfelelési esetekről vagy magatartási szabályzat megsértéséről szólt.
Minden kampánylevél tartalmazott egy PDF-mellékletet is, amelynek fájlnevei például „Awareness Case Log File – Tuesday 14th, April 2026.pdf” vagy „Disciplinary Action – Employee Device Handling Case.pdf” voltak. A melléklet további részleteket tartalmazott az állítólagos eljárásról, és arra utasította az áldozatot, hogy kattintson egy „Eseti anyagok áttekintése” gombra.
A csapda négy lépcsőben zárul
A támadás nem egyetlen kattintással működött – szándékosan bonyolult volt, hogy legitimitást sugalljon. A lépések sorrendben:
- a PDF-ben lévő hivatkozás egy támadók által üzemeltetett weboldalra vezette az áldozatot, ahol egy Cloudflare-es CAPTCHA-feladatot kellett megoldani – ez egyrészt hitelesnek tűnt, másrészt kizárta az automatikus biztonsági elemző rendszereket,
- egy közbülső oldal azt állította, hogy a kért dokumentáció titkosított, és fiókbejelentkezést igényel – majd az „Áttekintés és aláírás” gombra kattintva az áldozatnak meg kellett adnia az email-címét,
- ezt egy második, képválasztásos CAPTCHA követte,
- végül a felhasználó egy Microsoft-bejelentkezési oldalt látott, ahol a „Bejelentkezés Microsoft-fiókkal” opcióra kattintva valójában egy közbeékelődéses munkamenet-eltérítési folyamatot indított el, amely valós időben lopta el a bejelentkezési tokent.
Miért nem véd a kétlépéses azonosítás?
Ez az a pont, ahol ez a kampány kiemelkedik a szokásos adathalász-támadások közül. A támadás nem csupán jelszavakat lopott, hanem érvényes munkamenet-tokeneket szerzett meg a kétlépéses azonosítás elvégzése után – ezért a hagyományos kétlépéses azonosítás nem nyújtott védelmet. A token megszerzése után a bűnözőknek már nincs szükségük a jelszóra: beléphetnek a fiókba, mintha ők lennének a jogosult felhasználó.
Kiket érintett leginkább?
Az érintett ágazatok sorában az egészségügy és az élettudományok vezet 19 százalékkal, ezt követi a pénzügyi szolgáltatások 18 százalékkal, a szakmai szolgáltatások 11 százalékkal és a technológiai szektor szintén 11 százalékkal. Az áldozatok 92 százaléka az Egyesült Államokban volt, de a kampány 26 országot érintett.
A fegyelmi eljárást imitáló adathalász támadás jól mutatja, hogy a kiberbűnözők egyre kifinomultabb módszerekkel dolgoznak – és a kétlépéses azonosítás önmagában már nem elegendő védelem. A Microsoft azt javasolja, hogy szervezetek vezessenek be adathalász-ellenálló azonosítási módszereket, rendszeres biztonsági szimulációkat és fejlett email-védelmi megoldásokat. A legfontosabb tanulság pedig: ha a munkahelyi postaládádban váratlan fegyelmi értesítés landol – elsőként ne a hivatkozásra kattints, hanem a kollégádat hívd fel telefonon
