Microsoft сообщает, что многоэтапная phishing-кампания использовала приманки на тему code of conduct и легитимные email-сервисы, чтобы направлять пользователей на контролируемые атакующими домены и красть authentication tokens.
Что сказала Microsoft#
Microsoft раскрыла детали масштабной кампании по краже учетных данных, которую наблюдала с 14 по 16 апреля 2026 года. По словам компании, активность была нацелена более чем на 35 000 пользователей в более чем 13 000 организаций в 26 странах.
Важен не только масштаб. По данным Microsoft, кампания сочетала обычную на вид email-инфраструктуру с social engineering, использующей язык рабочих политик и правил поведения. Такая приманка должна выглядеть рутинной, а не срочной. Именно поэтому она часто оказывается эффективнее.
По данным Microsoft, кампания направляла пользователей на домены под контролем атакующих и была нацелена на кражу authentication tokens. Это важно, потому что кража token может позволить атакующему обойти первый уровень трения при входе, не обязательно взламывая пароль в классическом смысле.
Почему это важно#
Это напоминание о том, что phishing уже давно не сводится к плохим ссылкам в плохо написанных письмах. Атакующие продолжают использовать доверенные сервисы, нормальные на вид цепочки сообщений и темы, которые легко теряются в повседневном офисном шуме.
Это создает две проблемы.
Во-первых, письмо может пройти поверхностную проверку «на запах». Если сообщение приходит через легитимные сервисы, многие пользователи будут доверять ему достаточно долго, чтобы кликнуть. Во-вторых, целью не всегда является пароль. Если задача — захватить session token или другой authentication artifact, традиционный совет вроде «используйте надежный пароль» закрывает только часть риска.
Масштаб тоже имеет значение. Цифры Microsoft указывают на кампанию, которая была широкой, трансграничной и направленной сразу на множество организаций. Это не означает автоматически, что каждая цель была успешно скомпрометирована. Но это означает, что кампания была достаточно крупной, чтобы рассматривать ее как реальный операционный паттерн, а не разовую шалость.
Что не стоит утверждать сверх фактов#
Исходный материал дает четкое предупреждение о кампании, но не доказывает все возможные последующие последствия. Без более сильных доказательств не стоит предполагать, что:
- все 35 000 пользователей, на которых была нацелена кампания, были скомпрометированы
- каждая организация получила одно и то же сообщение, payload или технику
- атакующим удалось украсть пригодные к использованию tokens при каждой попытке входа
- кампания использовала один фиксированный набор инфраструктуры на протяжении всего окна наблюдения
Более безопасное прочтение уже: Microsoft выявила широкую phishing-операцию, описала стиль приманки и путь доставки, а также заявила, что целью была кража tokens. Этого достаточно, чтобы отнестись к ситуации серьезно, не превращая ее в историю о полном breach без подтверждений.
Что читателям стоит проверить дальше#
Для security teams полезный вопрос не в том, повторилась ли именно эта кампания без изменений. Вопрос в том, поймали бы ваши controls такой же паттерн, если бы он появился завтра.
Практическая проверка обычно начинается с четырех пунктов:
- ловят ли email filtering и link inspection сообщения, которые используют легитимные сервисы как прикрытие
- обучены ли пользователи считать подозрительными сообщения на тему policy, если они просят выполнить sign-in или verification
- может ли authentication monitoring заметить необычное использование token или session activity после phishing-события
- предполагают ли ваши response playbooks кражу token, а не только сценарии со сбросом пароля
Для обычных пользователей вывод проще. Будьте осторожны с сообщениями, которые ссылаются на policy, compliance, account review или правила поведения, особенно если они подталкивают войти в аккаунт по ссылке. Если запрос выглядит рутинно, но момент кажется странным, воспринимайте это как тревожный сигнал, а не как повод расслабиться.
Главный урок старый, даже если упаковка меняется. Phishing работает, когда сообщение выглядит достаточно нормально, чтобы снизить внимательность. Похоже, здесь атакующие сделали ставку именно на это.