Noua armă a hackerilor păcălește chiar și sistemele suplimentare de securitate și compromite zilnic sute de organizații

Un nou val de atacuri informatice care vizează conturile Microsoft îngrijorează serios comunitatea de securitate cibernetică, după ce cercetătorii au observat că sute de organizații sunt compromise în fiecare zi. Potrivit Microsoft, din 15 martie 2026 au fost identificate între 10 și 15 campanii distincte la fiecare 24 de ore, fiecare lansată la scară mare și direcționată către sute de organizații din toate sectoarele și din mai multe regiuni ale lumii.

Ceea ce face această ofensivă atât de periculoasă este combinația dintre automatizare, inteligență artificială și o metodă de phishing mai puțin obișnuită, bazată pe „device code authentication”. Microsoft spune că atacatorii folosesc aproape fiecare etapă a lanțului de atac pentru a evita detecția și pentru a obține acces la conturile victimelor, chiar și atunci când acestea au autentificare multi-factor activată. După compromitere, accentul cade în special pe conturile din zona financiară, de unde sunt extrase e-mailuri sensibile și date cu potențial economic ridicat, potrivit presei străine.

Cum reușesc atacatorii să ocolească autentificarea multi-factor

Mecanismul exploatat este legitim și există pentru dispozitive care nu permit un login clasic, precum televizoare inteligente, imprimante sau alte echipamente conectate. În mod normal, utilizatorul primește un cod scurt pe dispozitiv și îl introduce apoi într-un browser, pe alt aparat, pentru a se autentifica. Problema este că această metodă nu leagă suficient de strict sesiunea de contextul inițial al utilizatorului, iar asta le oferă infractorilor o portiță excelentă pentru phishing.

În aceste campanii, atacatorii pornesc cu o fază de recunoaștere în care verifică, prin endpoint-ul Microsoft GetCredentialType, dacă o adresă de e-mail există și este activă în tenantul organizației. Microsoft spune că această etapă apare de obicei cu 10 până la 15 zile înaintea tentativei reale de phishing. Apoi intră în joc AI-ul: mesajele trimise victimelor sunt generate și personalizate în funcție de rol, cu teme precum facturi, cereri de ofertă sau fluxuri de producție, tocmai pentru a părea credibile și urgente.

Vezi și:

7 semne că un anunț de cazare de pe Booking ar putea fi fals. Ce trebuie să verifici înainte să plătești

Mai departe, linkurile din mesaje nu duc direct la pagina finală de phishing. În schimb, atacatorii folosesc lanțuri automate de redirecționare prin domenii legitime compromise și platforme serverless precum Railway, Cloudflare Workers, DigitalOcean sau AWS Lambda, ca să treacă mai ușor de filtrele automate. Pagina finală afișează o interfață care imită o fereastră reală de browser și trimite victima către pagina legitimă microsoft.com/devicelogin, unde i se cere să introducă un cod de autentificare afișat în acel moment.

De ce această campanie este mai periculoasă decât phishingul clasic

Punctul-cheie al succesului este generarea dinamică a codurilor. În mod obișnuit, un astfel de cod expiră în 15 minute, ceea ce limitează mult utilitatea lui într-un phishing standard. Microsoft spune însă că atacatorii au mutat generarea codului în etapa finală a lanțului de redirecționare, astfel încât cronometrul începe abia când victima ajunge pe pagina finală. În acel moment, un script monitorizează în timp real dacă utilizatorul a finalizat autentificarea. De îndată ce loginul este complet, tokenul de acces ajunge la atacator, care se poate conecta în cont fără să mai fie oprit de MFA.

După acces, comportamentul diferă în funcție de obiectiv. În unele cazuri, atacatorii înregistrează rapid noi dispozitive pentru a obține tokenuri persistente și acces pe termen lung. În altele, ei creează reguli de inbox pentru a redirecționa automat mesaje sensibile, de exemplu cele care conțin termeni precum „payroll” sau „invoice”, sau încep furtul de date din e-mail la câteva ore după compromitere. Microsoft leagă infrastructura și instrumentele folosite de elemente similare cu EvilTokens, un kit de phishing de tip device-code vândut ca serviciu încă din februarie și promovat explicit ca metodă de ocolire a MFA pentru Microsoft 365, cu planuri de extindere și către Gmail sau Okta.

Mesajul Microsoft este clar: acolo unde nu este absolut necesar, fluxul de autentificare prin device code ar trebui blocat. În plus, angajații trebuie instruiți să fie atenți la mesaje externe, linkuri suspecte și la faptul că paginile legitime Microsoft cer confirmarea aplicației în care se face autentificarea, un pas care lipsește adesea în scenariile de phishing. Campania arată cât de repede evoluează amenințările atunci când AI-ul nu mai este doar un instrument de generare de texte, ci motorul unei operațiuni complete de compromitere a conturilor.

Cum arată acum Aero1200, cartierul unde un Boeing 747 va fi montat între două turnuri uriașe