התקפת Device Code Phishing מנצלת הזמנות Microsoft Teams מזויפות כדי לגנוב טוקנים, ומדגישה את הצורך בעדכונים והגנות מתקדמות למניעת גניבת פרטי גישה, למניעת נזקים חמורים.
מתקפה מתוחכמת המשתמשת בהזמנות Teams
תוקפים מנצלים הזמנות מזויפות כדי לגנוב פרטי גישה ואימות דו־שלבי מחשבונות Microsoft 365
מאז אוגוסט 2024, תוקף שמזוהה כ־Storm-2372 משתמש בהזמנות מזויפות של Microsoft Teams לביצוע מתקפת "Device Code Phishing". הקמפיין פונה למגזרים כמו ממשלות, ארגונים לא ממשלתיים, שירותי IT, ביטחון, תקשורת, בריאות, חינוך ואנרגיה ברחבי אירופה, צפון אמריקה, אפריקה והמזרח התיכון. MSTIC (Microsoft Threat Intelligence Center) מעריך, בסבירות בינונית, ש־Storm-2372 תואם את האינטרסים והטקטיקות של גורמים ברוסיה.
כיצד מתבצעת מתקפת "Device Code Phishing"
שימוש בתהליך אימות קוד מכשיר לגניבת טוקנים ולהסלמת הרשאות
במתקפת "Device Code Phishing", התוקפים מנצלים את תהליך האימות שנועד למכשירים עם אפשרויות קלט מוגבלות (מכשירים עם מקלדת קטנה או ללא מקלדת, כמו טלוויזיות חכמות). המשתמש מקבל הודעה מזויפת המדמה הזמנה מ־Microsoft Teams, והוא מתבקש להזין את הקוד באתר הכניסה הרשמי. כך התוקפים מצליחים לתפוס את ה"טוקנים" (tokens) שמעניקים גישה לחשבון, מה שמאפשר להם להמשיך לשלוט בו ללא צורך בסיסמה או אימות נוסף.
טקטיקות מתקדמות לשמירה על גישה מתמשכת
שימוש ב־Client ID להשגת Primary Refresh Tokens והבטחת הישנות המתקפה
קבוצת Storm-2372 מצאה דרך לשמור על גישה מתמשכת לחשבונות נפרצים. הם מנצלים את
"Client ID" של Microsoft Authentication Broker כדי לקבל אסימונים קריטיים (Primary Refresh Tokens), שמעניקים גישה ממושכת לחשבונות. באמצעות אסימונים אלו, הם רושמים מכשירים בסביבות Entra ID, מה שמאפשר להם להמשיך לבצע מתקפות נוספות ולהרחיב את ההרשאות שלהם, תוך שמירה על נראות נמוכה במערכות ההגנה.
המלצות מומחי אבטחת מידע של IPV Security
- חסימת שיטת האימות הבעייתית – מומלץ לחסום את האימות המתבצע באמצעות קוד מכשיר, אם אינו חיוני, או להטמיע בקרות נוספות.
- הדרכת עובדים על מתקפות פישינג – יש להקפיד על הדרכות שוטפות לזיהוי הודעות מזויפות ולהתייחסות זהירה להזמנות Teams.
- ניטור ובקרת גישה – הטמעת כלי ניטור מתקדמים, כגון SIEM, לזיהוי פעילות חשודה בזמן אמת וניהול התרעות על ניסיונות גניבת טוקנים.
- אימות רב־שלבי חזק – הפעלת פתרונות אימות מתקדמים כמו FIDO2/WebAuthn להחלפת שיטות אימות מבוססות SMS, להגברת רמת ההגנה.
לסיכום,
התקפת "Device Code Phishing" על חשבונות Microsoft 365 מדגישה את הצורך בהגנה מתקדמת באמצעות אימות רב־שלבי, ניטור בזמן אמת והדרכות למניעת מתקפות ממוקדות.
למידע נוסף: Hackers Abusing Microsoft Teams Meeting Invites to Trick Victims for Gaining Access
מעוניינים במבדקי פישינג ובמגוון הרצאות להעלאת מודעות הארגון לאירועי סייבר? פנו למומחי איי פי וי סקיוריטי!
להתייעצות מקצועית ניתן לפנות אלינו לאימייל info@ipvsecurity.com או במספר הטלפון 077-4447130. IPV Security מתמחה זה 20 שנה באבטחת מידע, סייבר, סקרי סיכונים ותקנים ורגולציות הנוגעים לביטחון מידע ועוד.