Phishing-kampanj med AI-beten slår mot 340+ företag — M365-tokens stulna
Aktiv device code phishing-kampanj utnyttjar Railway.com och AI-genererade beten för att stjäla M365-tokens. Lösenordsbyte hjälper inte.
Huntress varnar för en storskalig phishing-kampanj som riktar sig mot Microsoft 365-identiteter. Sedan februari har över 340 organisationer drabbats, med 350+ bekräftade intrång och 113 blockerade försök bara den senaste veckan.
Angriparna använder en teknik som kallas device code phishing. De utnyttjar Microsofts OAuth device authorization flow — samma mekanism som används för att logga in på exempelvis Teams på en smart-TV.
Så fungerar attacken
Offret får ett AI-genererat phishing-mail som ser trovärdigt ut. Mailet leder till en sida som ber användaren mata in en enhetskod. När koden matas in får angriparen en OAuth-token som ger full åtkomst till M365-kontot.
Det värsta: lösenordsbyte hjälper inte. Stulna OAuth-tokens förblir giltiga tills de explicit revokeras eller löper ut. Angriparna kör sin infrastruktur via Railway.com, en PaaS-plattform som de flesta säkerhetsteam aldrig har hört talas om.
Varför det här drabbar svenska SMF
Kampanjen riktar sig inte mot storföretag med dedikerade SOC-team. Den träffar vanliga organisationer — exakt den typ av företag som kör M365 Business Premium utan avancerad token-skyddskonfiguration i Conditional Access.
Vad du bör göra nu
- Granska Entra ID-inloggningsloggar för device code-autentisering från okända platser.
- Blockera Railway.com:s IP-block i Conditional Access named locations.
- Aktivera Continuous Access Evaluation (CAE) för att begränsa tokens livslängd.
- Överväg att helt stänga av device code flow i Conditional Access om ni inte aktivt använder det.
Hur vi kan hjälpa
Vi erbjuder en M365-identitetshärdning som inkluderar granskning av Conditional Access-policyer, token-skydd och device code flow-konfiguration. En halvdags genomgång som kan stoppa den här typen av attack.
Vill du att vi kollar er miljö? Kontakta oss.