Microsoft предупредила о phishing-кампании, похищавшей auth tokens

Microsoft описала масштабную phishing-кампанию с приманками про code of conduct и кражей authentication tokens.

2026-05-14 GIGATAP Team #security
#phishing#credential-theft#microsoft

Microsoft сообщает, что многоэтапная phishing-кампания использовала приманки на тему code of conduct и легитимные email-сервисы, чтобы направлять пользователей на контролируемые атакующими домены и красть authentication tokens.

Что сказала Microsoft#

Microsoft раскрыла детали масштабной кампании по краже учетных данных, которую наблюдала с 14 по 16 апреля 2026 года. По словам компании, активность была нацелена более чем на 35 000 пользователей в более чем 13 000 организаций в 26 странах.

Важен не только масштаб. По данным Microsoft, кампания сочетала обычную на вид email-инфраструктуру с social engineering, использующей язык рабочих политик и правил поведения. Такая приманка должна выглядеть рутинной, а не срочной. Именно поэтому она часто оказывается эффективнее.

По данным Microsoft, кампания направляла пользователей на домены под контролем атакующих и была нацелена на кражу authentication tokens. Это важно, потому что кража token может позволить атакующему обойти первый уровень трения при входе, не обязательно взламывая пароль в классическом смысле.

Почему это важно#

Это напоминание о том, что phishing уже давно не сводится к плохим ссылкам в плохо написанных письмах. Атакующие продолжают использовать доверенные сервисы, нормальные на вид цепочки сообщений и темы, которые легко теряются в повседневном офисном шуме.

Это создает две проблемы.

Во-первых, письмо может пройти поверхностную проверку «на запах». Если сообщение приходит через легитимные сервисы, многие пользователи будут доверять ему достаточно долго, чтобы кликнуть. Во-вторых, целью не всегда является пароль. Если задача — захватить session token или другой authentication artifact, традиционный совет вроде «используйте надежный пароль» закрывает только часть риска.

Масштаб тоже имеет значение. Цифры Microsoft указывают на кампанию, которая была широкой, трансграничной и направленной сразу на множество организаций. Это не означает автоматически, что каждая цель была успешно скомпрометирована. Но это означает, что кампания была достаточно крупной, чтобы рассматривать ее как реальный операционный паттерн, а не разовую шалость.

Что не стоит утверждать сверх фактов#

Исходный материал дает четкое предупреждение о кампании, но не доказывает все возможные последующие последствия. Без более сильных доказательств не стоит предполагать, что:

  • все 35 000 пользователей, на которых была нацелена кампания, были скомпрометированы
  • каждая организация получила одно и то же сообщение, payload или технику
  • атакующим удалось украсть пригодные к использованию tokens при каждой попытке входа
  • кампания использовала один фиксированный набор инфраструктуры на протяжении всего окна наблюдения

Более безопасное прочтение уже: Microsoft выявила широкую phishing-операцию, описала стиль приманки и путь доставки, а также заявила, что целью была кража tokens. Этого достаточно, чтобы отнестись к ситуации серьезно, не превращая ее в историю о полном breach без подтверждений.

Что читателям стоит проверить дальше#

Для security teams полезный вопрос не в том, повторилась ли именно эта кампания без изменений. Вопрос в том, поймали бы ваши controls такой же паттерн, если бы он появился завтра.

Практическая проверка обычно начинается с четырех пунктов:

  • ловят ли email filtering и link inspection сообщения, которые используют легитимные сервисы как прикрытие
  • обучены ли пользователи считать подозрительными сообщения на тему policy, если они просят выполнить sign-in или verification
  • может ли authentication monitoring заметить необычное использование token или session activity после phishing-события
  • предполагают ли ваши response playbooks кражу token, а не только сценарии со сбросом пароля

Для обычных пользователей вывод проще. Будьте осторожны с сообщениями, которые ссылаются на policy, compliance, account review или правила поведения, особенно если они подталкивают войти в аккаунт по ссылке. Если запрос выглядит рутинно, но момент кажется странным, воспринимайте это как тревожный сигнал, а не как повод расслабиться.

Главный урок старый, даже если упаковка меняется. Phishing работает, когда сообщение выглядит достаточно нормально, чтобы снизить внимательность. Похоже, здесь атакующие сделали ставку именно на это.