AI-driven phishing slår till mot M365 — hundratals företag komprometteras dagligen

Microsoft publicerade den 6 april en analys av en pågående AI-driven phishing-kampanj som riktar sig mot Microsoft 365-organisationer. Aktören bakom attacken, Storm-2755, har komprometterat över 340 organisationer i fem länder sedan mitten av mars.

Det som gör den här kampanjen annorlunda är att angriparna använder generativ AI för att skapa rollspecifika phishingmejl — anpassade efter mottagarens titel och bransch. Mejlen handlar om saker som RFP-förfrågningar, fakturor och tillverkningsprocesser. Dessutom använder de plattformen Railway.com för att snabbt sätta upp tusentals kortlivade servrar som hanterar autentiseringsflödet.

Device code phishing — så fungerar det

Istället för att skicka offret till en falsk inloggningssida utnyttjar angriparna Microsofts legitima device code-flöde. Offret matas med en giltig Microsoft-sida och en kod att fylla i. När koden skrivs in får angriparen en OAuth-token med full åtkomst till offrets konto.

Det här kringgår traditionellt e-postskydd eftersom allt sker via Microsofts egna servrar.

Vad du bör göra

1. Blockera device code-flödet i Conditional Access för alla användare som inte behöver det. De flesta vanliga användare behöver det aldrig.

2. Granska MFA-metoder. Kunder som fortfarande använder SMS eller TOTP är mest utsatta. Påskynda övergången till FIDO2-nycklar eller Passkeys.

3. Övervaka OAuth-samtycke i Entra ID. Ovanliga apptillstånd kan tyda på komprometterade konton.

4. Kör awareness-utbildning specifikt om device code-attacker. De flesta användare har aldrig sett det här flödet och vet inte att det kan missbrukas.

Så kan vi hjälpa

Vi kan blockera device code-flödet som en snabb åtgärd (1-2 timmar) och sedan planera en bredare MFA-uppgradering till FIDO2/Passkeys. Vill du ha hjälp? Kontakta oss.

Källa: Microsoft Security Blog — AI-enabled device code phishing campaign