
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Ghost phishing to rozwinięta technika wyłudzania dostępu, w której złośliwa zawartość nie jest od razu widoczna dla klasycznych narzędzi ochronnych. Na etapie analizy wiadomości e-mail, adresu URL lub statycznej odpowiedzi serwera atak może wyglądać niegroźnie, a właściwy mechanizm ujawnia się dopiero po stronie przeglądarki ofiary.
W najnowszej kampanii celem są przede wszystkim organizacje korzystające z Microsoft 365. Atak łączy ukrywanie treści phishingowej z nadużyciem legalnego procesu uwierzytelniania, co pozwala przejąć dostęp do konta bez tradycyjnej kradzieży hasła.
W skrócie
- Nowa kampania wykorzystuje zestaw phishingowy EvilTokens oraz technikę Microsoft Device Code Phishing.
- Złośliwa treść strony jest ukrywana do momentu odszyfrowania i wyrenderowania w przeglądarce.
- Zastosowanie szyfrowania AES-GCM utrudnia wykrycie ataku przez systemy analizujące wyłącznie statyczną odpowiedź HTTP.
- Skutkiem może być przejęcie konta Microsoft 365 oraz dostęp do poczty, plików i usług chmurowych.
- Tradycyjne bramy pocztowe i kontrole reputacyjne mogą nie zobaczyć pełnego obrazu ataku.
Kontekst / historia
Phishing od lat przechodzi ewolucję od prostych stron podszywających się pod formularze logowania do bardziej zaawansowanych operacji nastawionych na omijanie uwierzytelniania wieloskładnikowego, filtrów reputacyjnych i bezpiecznych bram pocztowych. Coraz częściej celem napastników nie jest samo hasło, lecz sesja, token lub zgoda użytkownika w legalnym przepływie autoryzacji.
W opisywanym scenariuszu wykorzystywany jest device code phishing. Ofiara otrzymuje instrukcję wykonania czynności, które przypominają prawidłowy proces logowania Microsoft, ale w praktyce zatwierdzają dostęp atakującego do konta. To ważna zmiana z perspektywy obrony, ponieważ wiele organizacji nadal koncentruje się głównie na wykrywaniu fałszywych formularzy logowania, a nie na nadużywaniu autentycznych mechanizmów uwierzytelnienia.
Analiza techniczna
Techniczny rdzeń kampanii opiera się na połączeniu socjotechniki z ukrywaniem rzeczywistej zawartości phishingowej przed tradycyjnymi systemami detekcji. Użytkownik otrzymuje link, który na pierwszy rzut oka nie musi wzbudzać podejrzeń. Podczas wstępnej analizy zabezpieczenia mogą zobaczyć jedynie nieszkodliwie wyglądającą odpowiedź.
Właściwa treść ataku jest szyfrowana z użyciem AES-GCM i odszyfrowywana dopiero po stronie przeglądarki. Oznacza to, że narzędzia bazujące na statycznym pobraniu odpowiedzi HTTP mogą nie mieć dostępu do finalnego kodu HTML, który użytkownik zobaczy po wyrenderowaniu strony w modelu DOM.
Po załadowaniu strony ofiara jest prowadzona przez proces device code phishing. Otrzymuje kod oraz instrukcję wykonania autoryzacji, która wygląda jak część legalnego procesu Microsoft. Jeśli użytkownik zatwierdzi operację, napastnik uzyskuje dostęp do konta Microsoft 365 bez konieczności bezpośredniego pozyskania hasła.
Z perspektywy zespołów SOC szczególnie problematyczne jest to, że pełna analiza wymaga obserwacji zachowania strony w przeglądarce. Znaczenie mają nie tylko początkowe odpowiedzi serwera, ale również dynamiczne zmiany w DOM, uruchamiane skrypty oraz wywołania sieciowe wykonywane po odszyfrowaniu treści. Bez takiej widoczności część incydentów może zostać błędnie oceniona jako niegroźna.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem udanego ataku jest przejęcie konta Microsoft 365. W praktyce może to oznaczać dostęp do poczty elektronicznej, plików przechowywanych w chmurze, danych wrażliwych oraz współdzielonych zasobów organizacji. Jedno przejęte konto może stać się punktem wyjścia do dalszych działań, takich jak business email compromise, oszustwa finansowe, rekonesans wewnętrzny czy nadużycia oparte na zaufaniu do legalnej tożsamości użytkownika.
Ryzyko zwiększa także ograniczona widoczność ataku. Jeżeli systemy bezpieczeństwa nie rejestrują końcowej postaci złośliwej strony, wydłuża się czas identyfikacji incydentu i rosną koszty reakcji. Utrudnione staje się również tworzenie skutecznych reguł detekcyjnych, blokowanie powiązanej infrastruktury oraz gromadzenie materiału dowodowego potrzebnego do pełnej analizy.
Ataki tego typu są szczególnie niebezpieczne w środowiskach silnie opartych na usługach chmurowych i pracy zdalnej, gdzie pojedyncza kompromitacja może szybko przełożyć się na incydent o szerokiej skali biznesowej.
Rekomendacje
Organizacje powinny rozszerzyć podejście do ochrony przed phishingiem poza warstwę poczty i sieci, obejmując również zachowanie stron w przeglądarce użytkownika. W praktyce warto wdrożyć kilka kluczowych działań.
- Stosować analizę dynamiczną podejrzanych linków w sandboxie zdolnym do obserwacji zmian DOM, wykonywanych skryptów i żądań sieciowych po stronie klienta.
- Rozbudować detekcję nadużyć device code flow, w tym monitorowanie nietypowych prób autoryzacji, nowych urządzeń i anomalii lokalizacyjnych.
- Ograniczać skutki kompromitacji poprzez zasadę najmniejszych uprawnień, segmentację dostępu oraz regularny przegląd aktywnych sesji i uprawnień w Microsoft 365.
- Szkolić użytkowników nie tylko z rozpoznawania fałszywych formularzy logowania, ale także z ryzyk związanych z zatwierdzaniem kodów urządzeń i pozornie legalnych procesów autoryzacji.
- Uzupełnić playbooki SOC o scenariusze przejęcia konta bez kradzieży hasła, w tym unieważnianie sesji, przegląd tokenów, analizę dostępu do skrzynek i plików oraz identyfikację działań następczych.
Podsumowanie
Nowa fala ghost phishing pokazuje, że tradycyjne zabezpieczenia poczty elektronicznej nie są już wystarczające wobec kampanii, których właściwy mechanizm ujawnia się dopiero w przeglądarce. Połączenie zestawu EvilTokens z device code phishing pozwala napastnikom przejąć konto Microsoft 365 bez bezpośredniej kradzieży hasła.
Dla zespołów bezpieczeństwa to wyraźny sygnał, że skuteczna obrona wymaga lepszej widoczności po stronie klienta, analizy behawioralnej oraz dokładniejszego monitorowania przepływów autoryzacyjnych. W nowoczesnym phishingu liczy się już nie tylko to, co zawiera wiadomość i link, ale również to, co faktycznie renderuje przeglądarka ofiary.