Napad je koristio lažne interne dokumente i legitimne servise kako bi prevario zaposlene i ukrao njihove autentifikacione tokene.
Prema podacima kompanije, najveći broj meta dolazio je iz sektora zdravstva, finansija i tehnologije, dok je čak 92 odsto napada bilo usmereno na korisnike u United States.
Lažni disciplinski dokumenti i “kodeks ponašanja”
Napadači su koristili veoma uverljive email poruke koje su izgledale kao zvanična HR komunikacija unutar kompanije. U porukama su se nalazili PDF fajlovi sa nazivima poput “Disciplinary Action” ili “Code of Conduct Review”, koji su pozivali zaposlene da pregledaju navodne interne slučajeve ili kršenja pravila.
Klik na dokument vodio je korisnike ka lažnim stranicama dizajniranim da izgledaju legitimno, gde su žrtve unosile podatke ili potvrđivale pristup. Posebno zabrinjava činjenica da su napadači koristili prave cloud servise i CAPTCHA zaštite kako bi otežali otkrivanje prevare bezbednosnim sistemima.
Napad koji zaobilazi čak i MFA zaštitu
Najopasniji deo kampanje bio je krađa autentifikacionih tokena kroz tzv. adversary-in-the-middle tehniku. Umesto krađe lozinke, napadači su preuzimali aktivne sesije korisnika, što im je omogućavalo pristup nalozima čak i kada je uključena višefaktorska autentifikacija.
Stručnjaci upozoravaju da promena lozinke često nije dovoljna da zaustavi ovakav napad jer ukradeni token može ostati validan i nakon resetovanja naloga.
Jedan od bezbednosnih istraživača na Redditu opisao je kampanju kao “jedan od najsofisticiranijih phishing napada ove godine”, posebno zbog načina na koji je kombinovana automatizacija i legitimna infrastruktura.
AI i automatizacija menjaju phishing napade
Microsoft navodi da su napadači koristili automatizovane sisteme i AI infrastrukturu za generisanje dinamičkih kodova i upravljanje velikim brojem kompromitovanih naloga istovremeno.
To predstavlja novu fazu razvoja phishing kampanja jer napadi više nisu ograničeni na pojedinačne mete i ručno kreirane prevare. Umesto toga, kriminalci sada koriste skalabilne sisteme koji mogu istovremeno targetirati desetine hiljada korisnika.
Kako se zaštititi
Stručnjaci preporučuju dodatni oprez kada su u pitanju email poruke koje traže hitnu reakciju ili pregled internih dokumenata. Posebno je važno proveriti adresu pošiljaoca i izbegavati unošenje podataka nakon klika na link iz email poruke.
Kompanijama se savetuje korišćenje phishing-resistant metoda autentifikacije poput passkey sistema i hardverskih sigurnosnih ključeva, koji značajno otežavaju krađu tokena i sesija.
Zabranjeno preuzimanje dela ili čitavog teksta i/ili foto/videa, bez navođenja i linkovanja izvora i autora, a u skladu sa odredbama WMG uslova korišćenja i Zakonom o javnom informisanju i medijima.