Vishing wokół Entra Passkey: nowa kampania przejęć kont Microsoft 365 - Security Bez Tabu

Vishing wokół Entra Passkey: nowa kampania przejęć kont Microsoft 365

Cybersecurity news

Wprowadzenie do problemu / definicja

Vishing, czyli phishing głosowy, pozostaje jedną z najskuteczniejszych technik ataku na użytkowników korporacyjnych. Najnowsza kampania wymierzona w środowiska Microsoft 365 wykorzystuje fałszywe prośby o rejestrację klucza dostępu Entra Passkey. Celem napastników nie jest wyłącznie kradzież hasła, ale przejęcie kontroli nad procesem uwierzytelniania i trwałe powiązanie konta ofiary z metodą logowania kontrolowaną przez atakującego.

W skrócie

Atakujący kontaktują się telefonicznie z pracownikami, podszywając się pod helpdesk, dział IT lub zespół bezpieczeństwa. Pod pretekstem wdrożenia nowego zabezpieczenia nakłaniają ofiary do wejścia na spreparowaną stronę imitującą proces rejestracji Entra Passkey.

Kampania wykorzystuje legalnie brzmiący pretekst związany z przejściem na bezhasłowe logowanie. Zamiast klasycznego ataku adversary-in-the-middle stosowany jest ręcznie obsługiwany panel phishingowy, który w czasie rzeczywistym dostosowuje przebieg logowania do używanej przez ofiarę metody MFA. Po uzyskaniu dostępu napastnicy mogą szybko przejść do przeglądu poczty i eksfiltracji danych z usług takich jak SharePoint czy OneDrive.

Kontekst / historia

Opisywana kampania ma trwać od kwietnia 2026 roku i obejmować organizacje z wielu sektorów, w tym technologii, ochrony zdrowia, motoryzacji, budownictwa, lotnictwa oraz branży spożywczej. Jej siła wynika z wykorzystania realnych zmian zachodzących w ekosystemie tożsamości Microsoft, zwłaszcza rosnącej popularności passkeys i kampanii zachęcających użytkowników do rejestracji nowych metod logowania.

To istotny element szerszego trendu: im bardziej scenariusz ataku przypomina legalny proces biznesowy, tym większa jego skuteczność. Użytkownicy są coraz częściej informowani o odchodzeniu od haseł, dlatego telefoniczna prośba o pilne włączenie nowej metody uwierzytelniania może wydawać się wiarygodna. Kampania jest dodatkowo wiązana z aktorem śledzonym jako O-UNC-066, łączonym z operacjami wymuszeń prowadzonymi pod marką Pink.

Analiza techniczna

Technicznie kampania wyróżnia się odejściem od typowego modelu przechwytywania sesji przez automatyczne proxy. Zamiast tego wykorzystywany jest sterowany ręcznie zestaw phishingowy oparty na panelu PHP. Operator prowadzi ofiarę przez kolejne etapy logowania niemal na żywo i reaguje na wymagania konkretnej organizacji oraz konkretnego użytkownika.

  • Kontakt telefoniczny z ofiarą: napastnik podszywa się pod helpdesk, administratora lub zespół bezpieczeństwa i informuje o konieczności aktywacji nowego passkey.
  • Przekierowanie na fałszywą stronę: ofiara otrzymuje adres zawierający słowa związane z passkey, co ma zwiększyć wiarygodność. Witryna odwzorowuje oznaczenia organizacji i legalny proces rejestracji.
  • Interaktywne przejęcie uwierzytelnienia: panel phishingowy dynamicznie obsługuje różne ścieżki MFA, w tym kody TOTP, powiadomienia push z number matching oraz kody SMS.
  • Rejestracja passkey kontrolowanego przez napastnika: użytkownik ma wrażenie, że aktywuje bezpieczniejszy sposób logowania, podczas gdy faktycznie umożliwia dodanie klucza należącego do atakującego.
  • Fałszywe elementy maskujące: po przejęciu sesji ofierze mogą być wyświetlane dodatkowe ekrany stylizowane na Microsoft, w tym instrukcje zapisania rzekomej frazy odzyskiwania BIP-39, co nie jest standardowym elementem legalnego wdrożenia Entra Passkey.

Z perspektywy obrony szczególnie ważne jest to, że nie jest to zwykła kradzież poświadczeń. Atak uderza w cały cykl życia tożsamości i ma na celu osadzenie na koncie trwałego artefaktu uwierzytelniającego. Taki dostęp może przetrwać nawet zmianę hasła, jeśli organizacja nie usunie zarejestrowanej przez napastnika metody logowania.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem jest przejęcie konta Microsoft 365 z użyciem pozornie legalnej metody logowania. Jeśli napastnik skutecznie zarejestruje własny passkey, organizacja może mieć do czynienia z bardziej trwałym kompromisem niż w przypadku klasycznej kradzieży hasła.

  • nieautoryzowany dostęp do poczty i danych w Microsoft 365,
  • eksfiltracja dokumentów z SharePoint i OneDrive,
  • wykorzystanie przejętego konta do dalszego phishingu wewnętrznego,
  • utrudnione wykrycie ze względu na legalnie wyglądającą aktywność,
  • zwiększone ryzyko wymuszenia po kradzieży danych.

Dla zespołów SOC i IAM zagrożenie jest szczególnie istotne, ponieważ łączy socjotechnikę, nadużycie zaufania do helpdesku i wykorzystanie nowoczesnych metod bezhasłowego logowania. Organizacje wdrażające passkeys mogą stać się bardziej podatne, jeśli użytkownicy nie rozumieją, jak wygląda prawidłowy proces rejestracji.

Rekomendacje

Organizacje korzystające z Microsoft 365 i Entra powinny potraktować ten scenariusz jako priorytetowy przypadek użycia dla detekcji, procedur IAM i szkoleń użytkowników.

  • Weryfikacja tożsamości helpdesku: każda prośba o zmianę metody logowania powinna być możliwa do niezależnego potwierdzenia w systemie zgłoszeniowym lub przez oficjalny numer zwrotny.
  • Edukacja użytkowników: szkolenia powinny wyjaśniać, jak wygląda legalna rejestracja Entra Passkey i jakie elementy, takie jak presja czasowa czy nietypowe frazy odzyskiwania, są sygnałami ostrzegawczymi.
  • Monitorowanie rejestracji metod uwierzytelniania: zespół IAM powinien śledzić zdarzenia związane z dodawaniem nowych metod logowania, zwłaszcza passkeys, FIDO2 i zmian MFA.
  • Korelacja zdarzeń telefonicznych i tożsamościowych: połączenie procesów helpdesk z SIEM może pomóc wykrywać sytuacje, w których po rozmowie telefonicznej następuje rejestracja nowego czynnika uwierzytelniającego.
  • Polityki dostępu warunkowego: warto ograniczać możliwość logowania z nietypowych regionów i wdrażać dodatkowe kontrole dla operacji wysokiego ryzyka.
  • Procedury reagowania: w przypadku podejrzenia incydentu należy natychmiast unieważnić sesje, zresetować poświadczenia, usunąć niezweryfikowane metody MFA i przeanalizować aktywność w Entra, Exchange Online, SharePoint oraz OneDrive.

Podsumowanie

Kampania vishingowa wykorzystująca rejestrację Entra Passkey pokazuje wyraźną zmianę w taktyce napastników. Celem nie jest już tylko przechwycenie loginu i hasła, ale zdobycie trwałej kontroli nad mechanizmem uwierzytelniania. Połączenie wiarygodnego pretekstu, rozmowy telefonicznej i interaktywnego panelu phishingowego znacząco zwiększa skuteczność operacji. Dla organizacji oznacza to konieczność równoległego wzmacniania procesów IAM, monitoringu zmian metod logowania i świadomości użytkowników końcowych.

Źródła

  1. Entra passkey enrollment vishing targets Microsoft 365 users — https://www.bleepingcomputer.com/news/security/entra-passkey-enrollment-vishing-targets-microsoft-365-users/
  2. Okta Threat Intelligence — https://www.okta.com/en-ca/blog/2026/07/entra-passkey-vishing/
  3. Palo Alto Networks Unit 42: Tracking „The Com” and affiliates — https://unit42.paloaltonetworks.com/
  4. Microsoft Entra documentation — https://learn.microsoft.com/en-us/entra/
  5. Microsoft passkeys documentation — https://learn.microsoft.com/en-us/entra/identity/authentication/how-to-enable-passkey-fido2