Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Microsoft opisał rozbudowaną kampanię phishingową ukierunkowaną na kradzież poświadczeń oraz tokenów uwierzytelniających. Operacja wykorzystywała wieloetapowy łańcuch ataku, spreparowane wiadomości e-mail stylizowane na komunikację wewnętrzną oraz techniki adversary-in-the-middle, które pozwalają przechwycić aktywną sesję użytkownika i ominąć tradycyjne mechanizmy MFA.
To kolejny przykład nowoczesnego phishingu, w którym atakujący nie ograniczają się do prostego wyłudzania loginu i hasła. Celem jest przejęcie pełnego dostępu do konta wraz z tokenem sesyjnym, co znacząco zwiększa skuteczność dalszych działań po stronie przestępców.
W skrócie
Kampania była obserwowana między 14 a 16 kwietnia 2026 r. i objęła ponad 35 tys. użytkowników z ponad 13 tys. organizacji w 26 krajach. Według Microsoftu aż 92% celów znajdowało się w Stanach Zjednoczonych, a wśród najczęściej atakowanych branż znalazły się ochrona zdrowia i life sciences, usługi finansowe, usługi profesjonalne oraz sektor technologii i oprogramowania.
- Atak bazował na wiadomościach e-mail z załącznikiem PDF.
- Przynęty odwoływały się do rzekomych naruszeń kodeksu postępowania.
- Ofiary były kierowane przez strony pośrednie, w tym ekrany CAPTCHA.
- Końcowym celem było przejęcie kont Microsoft oraz aktywnych tokenów sesyjnych.
Kontekst / historia
Phishing ukierunkowany na przejęcie tożsamości pozostaje jednym z najskuteczniejszych wektorów ataku. W tej kampanii przestępcy postawili na wiarygodność przekazu i presję psychologiczną zamiast masowego, prymitywnego spamu. Wiadomości były przygotowane w estetyce korporacyjnej, zawierały uporządkowane szablony HTML i nazwy nadawców sugerujące działy compliance lub komunikacji wewnętrznej.
Tematy wiadomości skupiały się wokół rzekomych postępowań dotyczących naruszeń zasad pracy lub polityk firmowych. Taka narracja miała wywołać stres i skłonić odbiorców do szybkiego kliknięcia bez dodatkowej weryfikacji. Dodatkowo wykorzystanie legalnych usług wysyłkowych zwiększało szanse na ominięcie filtrów reputacyjnych i dostarczenie wiadomości bezpośrednio do skrzynki odbiorczej.
Kampania wpisuje się w szerszy trend profesjonalizacji phishingu w 2026 roku. Rosnące znaczenie phishingu z użyciem kodów QR, ekranów CAPTCHA oraz usług phishing-as-a-service pokazuje, że cyberprzestępcy coraz częściej korzystają z gotowych, modułowych narzędzi upraszczających prowadzenie dużych operacji.
Analiza techniczna
Łańcuch ataku rozpoczynał się od wiadomości e-mail zawierającej załącznik PDF. Dokument miał rzekomo przedstawiać szczegóły sprawy związanej z kodeksem postępowania, ale w praktyce prowadził użytkownika do kliknięcia osadzonego odnośnika uruchamiającego dalsze etapy kampanii.
Następnie ofiara trafiała na kilka stron pośrednich, w tym ekrany z CAPTCHA. Taka warstwa pośrednia pełniła podwójną rolę: zwiększała pozory legalności oraz utrudniała analizę automatyczną przez narzędzia bezpieczeństwa i sandboxy. Dzięki temu atak stawał się trudniejszy do wykrycia na wczesnym etapie.
Końcowym elementem była fałszywa strona logowania działająca w modelu adversary-in-the-middle. W tym scenariuszu atakujący przechwytują nie tylko login i hasło, lecz także tokeny sesyjne generowane po poprawnym uwierzytelnieniu. To właśnie przejęcie sesji pozwala obejść MFA, ponieważ napastnik korzysta z już uwierzytelnionego dostępu zamiast próbować przełamywać drugi składnik logowania.
Microsoft wskazał również, że końcowa ścieżka mogła różnić się zależnie od tego, czy ofiara korzystała z urządzenia mobilnego, czy desktopowego. W analizie infrastruktury znaczną część obserwowanych punktów końcowych powiązano z ekosystemem Tycoon 2FA, a pozostałą aktywność także z Kratos oraz EvilTokens. To sugeruje współdzielenie narzędzi, technik dostarczania i elementów infrastruktury pomiędzy różnymi operatorami PhaaS.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem udanego ataku jest przejęcie firmowego konta wraz z aktywną sesją użytkownika. Taki dostęp może zostać wykorzystany do kradzieży danych, wysyłania kolejnych wiadomości phishingowych z przejętej skrzynki, realizacji oszustw BEC, manipulowania procesami finansowymi oraz poruszania się bocznego w środowisku chmurowym.
Szczególnie groźne jest to, że samo wdrożenie MFA nie gwarantuje pełnej ochrony przed atakami AiTM. Jeśli użytkownik zaloguje się przez kontrolowany przez napastnika pośrednik, przestępca może przejąć token sesyjny bez potrzeby łamania drugiego składnika uwierzytelniania. W praktyce oznacza to, że organizacje muszą zacząć traktować ochronę sesji i odporność na phishing jako równie ważne jak same hasła.
Dla podmiotów z sektorów regulowanych, takich jak finanse czy ochrona zdrowia, skutki mogą obejmować naruszenie poufności danych, incydenty zgodności, przestoje operacyjne oraz wysokie koszty reakcji i odtworzenia środowiska. Wykorzystanie legalnych usług pocztowych dodatkowo utrudnia wykrycie zagrożenia na poziomie bramy e-mail.
Rekomendacje
Organizacje powinny wdrażać odporne na phishing mechanizmy uwierzytelniania, w szczególności passkeys oraz klucze sprzętowe zgodne z FIDO2 tam, gdzie jest to możliwe. Takie rozwiązania znacząco ograniczają skuteczność klasycznych scenariuszy adversary-in-the-middle.
- Monitorować nietypowe lokalizacje logowania i adresy IP.
- Wykrywać nagłe zmiany urządzenia, przeglądarki lub wzorca sesji.
- Analizować równoległe sesje z różnych regionów.
- Rozszerzyć detekcję poczty o PDF-y zawierające odnośniki i wieloetapowe przekierowania.
- Szkolenia użytkowników oprzeć na rozpoznawaniu presji psychologicznej i fałszywej autoryzacji wewnętrznej.
- Przygotować procedury unieważniania tokenów sesyjnych, wymuszania ponownego logowania i przeglądu reguł skrzynki pocztowej po incydencie.
Istotne jest także doprecyzowanie procedur wewnętrznych. Pracownicy powinni wiedzieć, że sprawy HR, compliance lub postępowania dyscyplinarne nie są prowadzone przez nieoczekiwane linki w załącznikach. Dzięki temu łatwiej ograniczyć skuteczność socjotechniki wykorzystującej stres i poczucie pilności.
Podsumowanie
Kampania opisana przez Microsoft pokazuje, że współczesny phishing coraz częściej przypomina dobrze zaprojektowaną operację socjotechniczną wspieraną przez profesjonalną infrastrukturę. Połączenie wiarygodnych przynęt, legalnych usług e-mail, stron pośrednich z CAPTCHA i mechanizmu AiTM tworzy bardzo skuteczny model przejmowania kont nawet w środowiskach korzystających z MFA.
Dla zespołów bezpieczeństwa oznacza to konieczność wyjścia poza klasyczne filtrowanie reputacyjne i standardowe MFA. Kluczowe stają się silniejsze metody uwierzytelniania, monitoring tokenów sesyjnych, detekcja anomalii oraz gotowość do szybkiej reakcji na incydenty tożsamościowe.