
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Cyberprzestępcy rozwijają techniki przejmowania tożsamości w środowiskach chmurowych, łącząc klasyczny phishing z vishingiem, czyli socjotechniką prowadzoną przez telefon. Najnowszy scenariusz ataku koncentruje się na fałszywej rejestracji klucza dostępu, czyli passkey, w Microsoft Entra. Celem kampanii nie jest jedynie kradzież hasła, ale doprowadzenie do dodania przez napastnika własnej metody uwierzytelniania do legalnego konta ofiary.
To istotna zmiana jakościowa. W praktyce oznacza bowiem, że po jednorazowym skutecznym oszustwie atakujący może uzyskać trwalszy dostęp do konta Microsoft 365, nawet jeśli organizacja później zmieni hasło użytkownika, ale nie usunie nieautoryzowanego passkey.
W skrócie
Atak rozpoczyna się od telefonu od osoby podszywającej się pod dział IT, bezpieczeństwo lub wsparcie techniczne. Ofiara jest informowana o konieczności pilnej rejestracji nowego passkey w Microsoft Entra i kierowana na stronę łudząco przypominającą legalny proces logowania.
- użytkownik podaje login i hasło na stronie phishingowej,
- operator kampanii wykorzystuje te dane w prawdziwym procesie logowania do Microsoft 365,
- jeśli system wymaga MFA, napastnik nakłania ofiarę do podania kodu lub zatwierdzenia żądania,
- po pomyślnym uwierzytelnieniu rejestrowany jest passkey kontrolowany przez przestępcę,
- atakujący uzyskuje dalszy dostęp do zasobów powiązanych z kontem.
Taki model pozwala obejść część tradycyjnych założeń ochronnych, ponieważ użytkownik sam uczestniczy w procesie uwierzytelnienia, przekonany, że wykonuje legalną procedurę bezpieczeństwa.
Kontekst / historia
Passkeys są promowane jako nowocześniejsza i bezpieczniejsza alternatywa dla haseł oraz kodów jednorazowych. W ekosystemie Microsoft Entra administratorzy mogą wdrażać procesy i kampanie zachęcające użytkowników do rejestracji tej metody podczas logowania. Z punktu widzenia bezpieczeństwa to korzystny kierunek, ale jednocześnie pojawia się nowy etap procesu tożsamościowego, który może zostać wykorzystany jako pretekst do oszustwa.
Opisana aktywność była wiązana z kampanią wymierzoną w organizacje z wielu sektorów, w tym technologii, ochrony zdrowia, lotnictwa, budownictwa, motoryzacji i branży spożywczej. Charakter działań sugeruje dojrzały model operacyjny: połączenia głosowe, przygotowane domeny nawiązujące do passkey, panel operatorski oraz możliwość dynamicznego reagowania na sposób działania MFA po stronie ofiary.
To pokazuje, że ataki na tożsamość coraz częściej nie polegają na przełamywaniu technologii, lecz na przejmowaniu procesów wdrożeniowych i zaufania użytkownika. Im bardziej organizacje promują nowoczesne uwierzytelnianie, tym ważniejsze staje się zabezpieczenie samego procesu jego aktywacji.
Analiza techniczna
Technicznie nie jest to klasyczny atak adversary-in-the-middle, w którym napastnik pełni pełną rolę pośrednika dla całej sesji. Zamiast tego stosowany jest interaktywny phishing wspierany pracą operatora w czasie rzeczywistym. To człowiek, a nie wyłącznie automat, reaguje na kolejne etapy prawdziwego procesu logowania Microsoftu.
Typowy przebieg incydentu wygląda następująco:
- ofiara odbiera telefon od osoby podającej się za pracownika wsparcia lub bezpieczeństwa,
- użytkownik słyszy, że musi pilnie zarejestrować nowy passkey,
- otrzymuje adres strony imitującej proces Microsoft Entra,
- wpisuje nazwę użytkownika oraz hasło,
- dane trafiają do panelu operatora, który loguje się do właściwego tenanta Microsoft 365,
- jeżeli system wymaga MFA, operator prowadzi ofiarę przez odpowiedni scenariusz zatwierdzenia,
- w tle dochodzi do dodania nowego passkey do konta,
- użytkownik może widzieć kolejne ekrany rzekomej konfiguracji, które mają uwiarygodnić operację.
Kluczowym elementem jest interaktywność. Panel phishingowy pozwala dostosować oszustwo do tego, czy ofiara otrzyma SMS, kod TOTP czy powiadomienie push. Taka elastyczność znacząco zwiększa skuteczność kampanii względem prostych, statycznych stron wyłudzających dane.
W analizowanych scenariuszach stosowane są także elementy odwracające uwagę, takie jak prośba o zapisanie lub sprawdzenie frazy odzyskiwania składającej się z 12 słów. Taki etap ma stworzyć wrażenie autentycznego procesu bezpieczeństwa i jednocześnie dać operatorowi czas na dokończenie rejestracji własnego klucza dostępu.
Z perspektywy obrońców najważniejsze jest właściwe rozumienie problemu: passkey jako technologia nie jest tutaj słabym ogniwem. Ryzyko wynika z przejęcia procesu rejestracji i doprowadzenia do sytuacji, w której legalne konto zostaje powiązane z metodą uwierzytelniania kontrolowaną przez napastnika.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem jest trwałe przejęcie tożsamości w środowisku Microsoft 365. Po dodaniu własnego passkey przestępca może uzyskać dostęp do poczty, plików, Teams, SharePointa oraz innych usług zależnych od Entra ID.
- eksfiltracja danych biznesowych i poufnych dokumentów,
- nadużycia w komunikacji wewnętrznej i zewnętrznej,
- utrzymanie dostępu mimo zmiany hasła, jeśli nie usunięto złośliwie dodanej metody logowania,
- ruch boczny do innych systemów zintegrowanych z tożsamością chmurową,
- wykorzystanie przejętego konta do oszustw finansowych, dalszego phishingu lub wymuszeń.
Atak pokazuje również ograniczenia samego MFA, jeśli użytkownik zostanie nakłoniony do współpracy w czasie rzeczywistym. W takim modelu przeciwnik nie musi technicznie łamać dodatkowego uwierzytelniania. Wystarczy, że ofiara zatwierdzi żądanie, wierząc, że bierze udział w legalnym procesie.
Rekomendacje
Organizacje korzystające z Microsoft 365 i Microsoft Entra powinny potraktować rejestrację passkey jako operację wysokiego ryzyka, wymagającą monitorowania, kontroli i jasnych procedur. Samo wdrożenie nowoczesnej metody logowania nie wystarczy, jeśli proces jej aktywacji nie jest odpowiednio zabezpieczony.
- ograniczyć możliwość rejestracji passkey do określonych grup i etapowego wdrożenia,
- monitorować zdarzenia dodawania nowych metod uwierzytelniania,
- wprowadzić alerty dotyczące nietypowych rejestracji passkey i zmian metod logowania,
- szkolić użytkowników, że dział IT nie inicjuje telefonicznie pilnej rejestracji przez zewnętrzny link,
- wdrożyć procedury helpdeskowe z silną weryfikacją tożsamości przed zmianą ustawień logowania,
- stosować polityki Conditional Access ograniczające ryzykowne scenariusze rejestracji,
- regularnie przeglądać zarejestrowane metody MFA i usuwać nieznane wpisy,
- analizować ruch związany z domenami odwołującymi się do passkey,
- prowadzić ćwiczenia tabletop i symulacje vishingu dotyczące tożsamości chmurowej.
W razie podejrzenia kompromitacji nie należy ograniczać się do resetu hasła. Konieczne jest także unieważnienie aktywnych sesji, sprawdzenie i usunięcie nieautoryzowanych passkeys, analiza logów logowania oraz aktywności w poczcie i plikach, a także weryfikacja, czy przejęte konto nie posłużyło do dalszych ataków na partnerów lub klientów.
Podsumowanie
Fałszywa rejestracja passkey w Microsoft Entra pokazuje, że nawet nowoczesne, silne metody uwierzytelniania mogą zostać włączone w skuteczny łańcuch ataku, jeśli przestępcy przejmą kontrolę nad procesem wdrożenia po stronie użytkownika. To nie podważa bezpieczeństwa samej technologii passkey, ale wyraźnie wskazuje na operacyjne słabości związane z edukacją, procedurami i monitoringiem zmian metod logowania.
Dla zespołów bezpieczeństwa oznacza to konieczność traktowania dodania nowego passkey jako krytycznego zdarzenia tożsamościowego. Powinno ono podlegać takiej samej kontroli jak reset hasła, rejestracja nowego MFA czy zmiana uprawnień dostępowych.
Źródła
- The Hacker News — Hackers Use Fake Microsoft Entra Passkey Enrollment to Gain Microsoft 365 Access
- Microsoft Learn — Register a Passkey (FIDO2) – Microsoft Entra ID
- Microsoft Learn — How to enable passkeys (FIDO2) in Microsoft Entra ID
- Microsoft Learn — Passkey FAQs – Microsoft Entra ID
- BleepingComputer — Entra passkey enrollment vishing targets Microsoft 365 users