Фахівці Microsoft попереджають про нову фішингову схему, яку застосовує угруповання Storm-2372. Хакери націлені на облікові записи Microsoft 365 і використовують в атаках коди для авторизації пристроїв, які не мають клавіатури або підтримки браузера (наприклад, розумні телевізори та деякі IoT-девайси).

Цілями цієї кампанії стали урядові організації, НКО, а також компанії, що працюють у сфері ІТ-послуг, технологій, оборони, телекомунікацій, охорони здоров’я, енергетики та нафтогазової галузі в країнах Європи, Північної Америки, Африки та Близького Сходу.

Експерти пояснюють, що зазвичай коди для авторизації використовуються на пристроях з обмеженим введенням, які не підтримують клавіатуру або браузер. Це дає змогу користувачам входити в застосунок, ввівши спеціальний код авторизації на сторонньому девайсі, наприклад на смартфоні або комп’ютері.

Для боротьби з такими атаками фахівці компанії пропонують блокувати коди для авторизації пристроїв там, де це можливо, а також застосовувати політики Conditional Access у Microsoft Entra ID, щоб обмежити використання тільки довіреними пристроями та мережами. Також рекомендується не забувати про багатофакторну аутентифікацію.

Дослідники зазначають, що згенеровані коди для авторизації пристроїв діють лише 15 хвилин з моменту створення. Тобто успіх подібних фішингових атак багато в чому залежить від оперативної координації хакерів і зв’язку з жертвою в режимі реального часу.