Hackere stjeler Microsoft-logins med nytt triks

Cyberkriminelle har funnet en ny metode for å stjele Microsoft-innlogginger, advarer eksperter. Denne gangen handler det om en teknikk som gjør falske sider nesten identiske med den ekte innloggingssiden til Microsoft 365.

Slik fungerer angrepet

Normalt blir ofre sendt direkte til falske nettsider via e-post, men i dette tilfellet har hackerne tatt i bruk Microsofts egen funksjon Active Directory Federation Services (ADFS). Denne brukes vanligvis av bedrifter for å koble interne systemer til Microsofts tjenester.

Les også: Viktig sikkerhetsforbedring: Slik aktiverer du den

Gjennom å sette opp sin egen Microsoft-konto og konfigurere ADFS kunne angriperne manipulere systemet slik at brukere ble sendt videre til en phishing-side. Adressen så legitim ut, ofte noe som lignet outlook.office.com, noe som skapte tillit.

I stedet for e-post ble ofrene lokket via skadelige annonser (malvertising). Søkte man for eksempel feil på «Office 265», kunne man bli ført til en falsk innloggingsside. Som mellomledd brukte hackerne også tilsynelatende uskyldige nettsider, som en falsk reiseblogg, for å skjule angrepet.

Det som gjorde angrepet spesielt farlig var at lenkene så ut til å komme direkte fra Microsoft, og dermed kunne omgå mange sikkerhetsverktøy. I tillegg kunne metoden lure seg forbi totrinnsbekreftelse (MFA), som ellers gir en ekstra beskyttelse.

Hvordan beskytte seg

• IT-avdelinger bør blokkere eller overvåke trafikk fra annonser, og være oppmerksomme på uvanlige omdirigeringer fra Microsoft-innlogginger til ukjente domener.
• Brukere bør være forsiktige når de skriver inn søkeord i Google. Selv små tastefeil kan føre til skadelige annonser.
• Vær ekstra kritisk dersom innloggingssiden ser riktig ut, men noe føles uvanlig.

Ekspertene understreker at selv erfarne brukere kan bli lurt av denne metoden, nettopp fordi den utnytter Microsofts egne systemer til å fremstå legitim.

Les også: Farlig programvare funnet i mange Android telefoner