Hackeři ve službách Ruska přebírají kontrolu nad účtem přes oblíbený kancelářský balíček Microsoft 365
Lukáš Altman
Lukáše psaní naplňovalo už od dětství, že se tím bude živit si uvědomil ještě jako student v roce 2013. V tu dobu už si několika dílčími texty začal přivydělávat. Jeho profesionální kariéra začala o tři roky později, kdy se stal externím redaktorem pro portál Alza.cz. Od té doby spolupracoval s řadou firem různých rozsahů a dokonce založil několik vlastních projektů, včetně Mobify.cz, který časem přešel pod společnost abcMedia Network. Nyní se Lukáš řadí mezi nejvlivnější české redaktory v oblasti elektroniky.
Útočníci už dnes nepotřebují složité viry ani technické slabiny. Stačí jim důvěra uživatelů a chytré zneužití běžných funkcí Microsoft 365.
Podvodné kampaně mířící na uživatele Microsoft 365 se změnily. Nejde o klasické falešné přihlašovací stránky, ale o rafinovaný trik, který zneužívá legitimní přihlašovací procesy Microsoftu, jak si redakce Mobify všimla. Je jasné, že cílem je převzetí celého účtu, a to včetně e-mailů, souborů a soukromé komunikace s dalšími lidmi.
Útočník potřebuje jen zadání přístupového klíče
Útočníci, napojení na Rusko, se vydávají za důvěryhodné osoby, kupříkladu kolegy, výzkumníky nebo úředníky. Pošlou e-mail z reálně existující, už dříve kompromitované adresy, což velice podporuje jejich důvěryhodnost. Zpráva od nich většinou odkazuje na údajný dokument v OneDrive nebo na přípravu k údajné on-line schůzce.
Po kliknutí ale uživatel není přesměrovaný na falešný web, ale na oficiální přihlašovací stránku Microsoftu. To zní možná zvláštně, ale klíčový moment nastává ve chvíli, kdy je uživatel vyzván k zadání tzv. ověřovacího kódu zařízení (device code). Jde o legitimní metodu přihlášení, běžně používanou například u chytrých televizí nebo aplikací bez klávesnice, vysvětluje theHackerNews.
Zadáním kódu ale uživatel nevědomky schválí přístup útočníkovi, který si okamžitě vygeneruje přístupový token, tzv. digitální klíč. Ten mu umožní plný přístup k účtu, kolikrát i bez toho, aby musel zadávat heslo nebo další ověření.
Oběti útoku si často ničeho nevšimnou
Z pohledu uživatele proběhne všechno „čistě“. Neobjeví se chybová hláška, účet funguje dál a žádné podezřelé přihlášení nemusí být na první pohled viditelné. Útočník mezitím čte e-maily, stahuje soubory, nastavuje přeposílání pošty, nebo si vytváří nové přístupy.
Primárním cílem jsou instituce pracující s citlivými informacemi, třeba státní správa, energetika, univerzity a další. To ale ještě neznamená, že běžní uživatelé jsou v bezpečí. Jakmile se tato technika víc rozšíří, může zasáhnout kohokoliv, kdo používá Microsoft 365, tedy miliardy lidí po celém světě.
Základní obranou je omezit nebo úplně zakázat přihlašování pomocí kódu zařízení, pokud ho nutně nepotřebujete. Firmy by měly využívat podmíněný přístup (nastavení, které dovolí přihlášení jen za určitých podmínek, např. z konkrétní země nebo zařízení, vysvětluje Microsoft). Jednotlivci by si měli všímat neobvyklých výzev k přihlášení a nikdy nezadávat kód, pokud přesně nevědí, proč je vyžadován.
Zdroje
Autorský komentář Lukáše Altmana, Oficiální stránky theHackerNews