Microsoft slår alarm: 13 000 organisasjoner i 26 land rammet av ny phishing-bølge

På bare tre dager i april klarte angriperne å nå mer enn 35 000 brukere i over 13 000 virksomheter fordelt på 26 land, opplyser Microsoft i en analyse fra Microsoft Threat Intelligence publisert 4. mai. Kampanjen rullet mellom 14. og 16. april og er en av de mest omfattende av sitt slag så langt i år.

Hoveddelen av målene, 92 prosent, befant seg i USA, men spredningen over 26 land gjør at også europeiske og norske virksomheter er aktuelle mål. Helse og biovitenskap utgjorde 19 prosent av de utvalgte mottakerne, finansielle tjenester 18 prosent, mens profesjonelle tjenester og teknologi sto for 11 prosent hver.

Falske disiplinærsaker var lokkemiddelet

E-posten var utformet som en intern disiplinærsak eller varsel om brudd på selskapets etiske regelverk. Avsendernavn som «Internal Regulatory COC» og «Workforce Communications» skulle gi inntrykk av å komme fra arbeidsgiveren selv, og emnefeltet var formulert som «Internal case log issued under conduct policy».

Vedlagt fulgte et PDF-dokument med navn av typen «Awareness Case Log File, Tuesday 14th, April 2026.pdf». Inne i dokumentet lå en knapp merket «Review Case Materials», og det var først ved klikk på denne at kjeden ble satt i gang.

Når brukeren klikket, ble vedkommende sendt videre til angriperkontrollerte domener som compliance-protectionoutlook[.]de og acceptable-use-policy-calendly[.]de. Først møtte offeret en Cloudflare-CAPTCHA, deretter en mellomside, en ny CAPTCHA og til slutt en innloggingsside som så ut til å være Microsofts egen.

Slik bypasset angrepet tofaktor

Det er her metoden skiller seg fra ordinær passordtyveri. Microsoft bruker betegnelsen adversary-in-the-middle, eller AiTM, om en teknikk der angriperen plasserer en proxy mellom brukeren og den ekte tjenesten.

Når brukeren skriver inn brukernavn, passord og engangskode, sendes alt videre til Microsoft i sanntid. Angriperen får dermed både legitimasjonen og selve sesjonstokenet, som lar dem logge inn uten å måtte oppgi tofaktor på nytt. Microsoft påpeker at metoden omgår all tofaktor som ikke er phishingresistent.

Help Net Security beskriver hvordan kampanjen kombinerte tidspress med alvorlige anklager om brudd på regelverket, slik at ansatte handlet før de tenkte.

Hva norske virksomheter bør gjøre

Trusselen er kjent for norske myndigheter. Nasjonal sikkerhetsmyndighet pekte allerede i desember 2024 ut Microsoft 365 som en av plattformene som er mest utsatt for nettopp denne typen angrep, og anbefaler norske virksomheter å gå over til passnøkler eller andre FIDO2-implementasjoner.

NSM er tydelig på at vanlig tofaktor ikke lenger holder. Phishingresistent autentisering, slik som passnøkler eller fysiske sikkerhetsnøkler, må ifølge tilsynet kreves som eneste innloggingsmetode for å hindre at brukerkontoer kommer på avveie. Økonomiansvarlige, ledere og systemadministratorer bør prioriteres i en gradvis utrulling.

Microsoft anbefaler i tillegg å aktivere Safe Links og Safe Attachments i Defender for Office 365, slå på automatisk angrepsforstyrrelse i Defender XDR, og kjøre regelmessige phishing-simuleringer for ansatte.

Slik kjenner du igjen forsøket

Den enkleste sjekken er adresselinjen i nettleseren. Microsofts ekte påloggingsside ligger alltid under login.microsoftonline.com. Domener som inneholder ord som compliance, policy eller outlook sammen med rare endelser, er et tydelig faresignal.

Ansatte som mistenker at de har klikket på en slik lenke og oppgitt påloggingsinformasjon, bør umiddelbart varsle IT-avdelingen, bytte passord og logge ut av alle aktive sesjoner i Microsoft-kontoen. Sesjonstoken som allerede er stjålet, gir angriperen tilgang inntil det blir tilbakekalt.