Microsoft atrage atenția asupra unei înșelătorii active care vizează redirecționarea plăților salariale ale angajaților către conturi controlate de atacatori, după preluarea inițială a profilurilor acestora pe Workday sau alte servicii de resurse umane bazate pe cloud.
Denumită “Piratul Salarial” de către Microsoft, campania obține acces la portalurile de resurse umane ale victimelor trimițând emailuri de tip phishing care îi păcălesc pe destinatari să ofere credențialele pentru conectarea la contul de cloud. Scamatorii reușesc să recupereze codurile de autentificare multi-factor folosind tactici de tip adversar-în-mijloc, care funcționează prin plasarea atacatorilor între victime și site-ul pe care cred că se conectează, care de fapt este un site fals operat de atacatori.
Odată ce obțin credențialele, inclusiv codul MFA, atacatorii le introduc pe site-ul real. Această tactică, tot mai comună în ultimii ani, subliniază importanța adoptării formelor de MFA compatibile cu FIDO, care sunt imune la astfel de atacuri.
După ce intră în conturile angajaților, scamatorii modifică configurațiile de plată din Workday, determinând redirecționarea plăților prin depunere directă din conturile alese inițial de angajat către un cont controlat de atacatori. Pentru a bloca mesajele pe care Workday le trimite automat utilizatorilor când detaliile contului sunt modificate, atacatorii creează reguli de email care previn apariția mesajelor în inbox.
“Actorul amenințării a folosit emailuri de phishing realiste, vizând conturi la multiple universități, pentru a colecta credențiale,” a declarat Microsoft într-o postare de joi. “Din martie 2025, am observat 11 conturi compromis succesful la trei universități, folosite pentru a trimite emailuri de phishing la aproape 6,000 de conturi de email de la 25 de universități.”
Momelile de phishing folosesc o varietate de teme pentru a păcăli destinatarii. Într-un caz, emailul susținea că angajații ar fi putut fi expuși la o boală contagioasă recent descoperită pe campus. Apoi oferă un link la o pagină care arată dacă individul este printre cei expuși. O altă temă este că a avut loc o schimbare recentă în beneficiile angajaților, cu un link pentru ca destinatarul să afle mai multe. Linkurile duc la o pagină controlată de atacatori, deghizată în pagina de login a contului de muncă al angajatului.
În unele cazuri, atacatorii au adăugat cu succes un număr de telefon pe care îl controlează ca formă de recuperare a contului, permițându-le să acceseze persistent contul compromis.
Avertismentul Microsoft este un bun reminder de ce formele de MFA care se bazează pe coduri de unică folosință, emailuri, mesaje text și notificări push ar trebui evitate pe cât posibil. Alternative mult mai sigure sunt cheile de acces, cheile de securitate fizice și alte forme de autentificare compatibile cu FIDO. Până în prezent, nu au fost cunoscute cazuri de compromis a MFA FIDO prin astfel de înșelătorii.
Poll: Care dintre metodele de autentificare considerați că ar fi cea mai sigură pentru protejarea contului dumneavoastră împotriva atacurilor de tip "Piratul Salarial"?
Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România
Leave a Reply