This post is also available in:
English (אנגלית)
קמפיין פישינג חדש ומתוחכם, שככל הנראה מנוהל על ידי גורמי סייבר רוסיים, גורם להרס בתעשיות שונות, כולל ממשלות וארגונים לא ממשלתיים. על פי אזהרה ממרכז מודיעין האיומים של מיקרוסופט, התקפה זו, המכונה "device code phishing", פועלת נגד משתמשים מאז אוגוסט 2024 ועדיין פעילה.
טקטיקת הפישינג מתמקדת בהזמנות מזייפות לפגישות, הנראות כהזמנות לגיטימיות מפלטפורמות פופולריות כמו וואטסאפ, סיגנל או מייקרוסופט טימז. הזמנות מזויפות אלה גורמות למשתמשים להיכנס לחשבונות שלהם, ומעניקות לתוקפים גישה לא מורשית. התוקפים מנצלים את האימות המשמש התקנים כגון טלוויזיות חכמות או קונסולות משחקים, הכרוך בהזנת קוד אימות זמני ממכשיר אחד למכשיר נפרד.
כדי לבצע תקיפה זו, ההאקרים מתחילים לבסס אמון עם הקורבן לפני שהם שולחים הזמנה משכנעת, שלעתים קרובות נראית כבקשה לגיטימית לפגישה מפלטפורמות כמו Microsoft Teams. לאחר מכן הם יוצרים קוד אימות ולידי המקושר למכשיר שלהם באמצעות שירות לגיטימי, כגון דף הכניסה של Microsoft, ולאחר מכן שולחים את הקוד ליעד בדואר אלקטרוני. כאשר הקורבן לוחץ על הקישור ומזין את הקוד במסך הכניסה שסופק, התוקפים מקבלים גישה לחשבון הקורבן על ידי לכידת טוקן האימות. בעזרת טוקן הזה, ההאקרים יכולים לגשת לנתונים רגישים ולשירותים מבלי להזדקק לסיסמה, ולשמור על הגישה כל עוד הטוקן נשאר תקף.
בנוסף לגניבת אישורי כניסה, ההאקרים מחפשים מידע רגיש בתוך הודעות המשתמש. הם מתמקדים במילות מפתח כמו "שם משתמש", "סיסמה", "מנהל", "אישורים" ואפילו "gov" כדי לקבל תובנות נוספות על פעולות היעד שלהם. מיקרוסופט מייחסת את הקמפיין לשחקן איום שהם כינו בשם 2372Storm-, שהם מאמינים שהוא ארגון רוסי הפועל בחסות המדינה.
מיקרוסופט קוראת לארגונים לחסום אימות קוד בהתקנים במידת האפשר כדי למתן את האיום ולהגן על נתונים רגישים מפני תוקפים אלה.
