I en bekymringsfull utvikling rapporterer sikkerhetseksperter om en ny trussel som rammer Microsoft 365-brukere. Den franske sikkerhetsfirmaet Sekoia har avdekket et phishing-verktøy kalt «Sneaky 2FA», som har evnen til å omgå flerfaktorautentisering, og gjør det lettere for hackere å få uautorisert tilgang til kontoer.

Phishing som en tjeneste

Sneaky 2FA tilbys som en tjeneste, kjent som Sneaky Log, og har blitt markedsført via den anonyme meldingsappen Telegram siden oktober 2024. Sekoia vurderer verktøyet som del av en trend hvor phishing tjenester blir tilgjengelige for trusselaktører som ønsker å utføre angrep uten mye teknisk kunnskap. Den månedlige kostnaden for å bruke denne tjenesten er omtrent 200 dollar, men rabatter tilbys for lengre abonnementsløsninger.

Hvordan angrepet foregår

Angrepet starter når en bruker klikker på en ondsinnet lenke i en e-post, noe som fører dem til en falsk Microsoft-innloggingsside. Denne siden kan i enkelte tilfeller forhåndsutfylle e-postadressen for å gi et mer autentisk inntrykk. For å øke legitimiteten kan phishing-siden også inneholde en Captcha-oppgave, og det rapporteres at løsninger som Cloudflares Turnstile også blir benyttet.

Brukeren blir deretter bedt om å oppgi brukernavn og passord, og vil motta en forespørsel om 2FA-kode, som de må skrive inn. Men i det øyeblikket de legger inn koden, fanger hackeren denne opp og bruker både legitimasjon og 2FA-koden for å logge seg på den ekte Microsoft 365-kontoen.

Full tilgang gir farlige muligheter

Etter å ha fått tilgang genererer angriperen en økt-informasjonskapsel (session cookie) som omgår behovet for videre autentisering, noe som muliggjør full tilgang til kontoen ilman å måtte gjennomgå 2FA-verifisering flere ganger. Hacket kan deretter utnytte kontoen for både å stjele sensitiv informasjon og utføre ytterligere angrep mot organisasjonen.

En voksende trussel

Sekoia har identifisert rundt 100 ulike domener som huser Sneaky 2FA sine phishing-sider. Følgelig mener de at populariteten til tjenesten øker blant cyberkriminelle. Mens den eksakte omfanget av kampanjen fortsatt er uklart, er det tydelig at denne nye trusselen representerer et betydelig problem for Microsoft 365-brukere. Som alltid er det viktig for brukere å være forsiktige med e-poster og lenker de mottar, samt å bruke ekstra sikkerhetstiltak for å beskytte sine data.

Konklusjon

Sikkerhetsforskere oppfordrer brukere til å være ekstra oppmerksomme og ta nødvendige forholdsregler for å beskytte sine kontoer mot denne typen angrep. Sørg for å oppdatere passordene dine jevnlig, aktiver varslinger for innlogging fra ukjente steder, og vær skeptisk til e-poster som ber om sensitiv informasjon.