Нов фишинг използва Microsoft Entra guest invitations

Picture of Здравко Боджов
Здравко Боджов
Зловреден код

Скоро беше идентифицирана нова фишинг кампания, която злоупотребява с Microsoft Entra guest user invitations за да насочи жертвите към телефонни измами.

Тези атаки представляват TOAD (Telephone Oriented Attack Delivery) тактика, като комбинират облачни системи за управление на идентичности с класически телефонни измами за компрометиране на организационна сигурност.

Механизмът на атака

  • Атакуващите изпращат гост-покани от легитимния адрес invites@microsoft.com, което им позволява да заобиколят имейл филтрите и да спечелят доверието на получателите.

  • Създават се фалшиви организационни tenants с имена като Unified Workspace Team, CloudSync, Advanced Suite Services, имитиращи реални Microsoft услуги.

  • Поканите съдържат измислени съобщения за подновяване на Microsoft 365 план с фиктивни транзакционни данни, като номера на клиент, референтни кодове и суми (~$446.46).

  • Потребителите се инструктират да се обадят на посочен номер, представен като Microsoft Billing Support, който всъщност е контролирана от атакуващите линия за кражба на идентификационни данни.

Защо е трудно за откриване

  • Ползването на легитимна инфраструктура на Microsoft прави имейлите почти невидими за стандартни системи за защита.

  • Полето Message в поканата позволява вмъкване на дълги текстове, включително пълни фишинг сценарии, без да се активират сигнали за подозрителен съдържание.

  • Атакуващите регистрират множество фалшиви tenant домейни (напр. x44xfqf.onmicrosoft.com, woodedlif.onmicrosoft.com, xeyi1ba.onmicrosoft.com) за постоянна инфраструктура и многократни кампании.

Препоръчителни мерки за защита

Организациите трябва да приложат следните стъпки незабавно:

  1. Проверка на имейл логове

    • Търсене по invites@microsoft.com

    • Ключови думи в subject като “invited you to access applications within their organization”

    • Фалшиви tenant имена, използвани от атакуващите

  2. Блокиране на телефонни номера, свързани с кампаниите.

  3. Обучение на служители

    • Никога да не се обаждат на номера от покани без потвърждение от официална Microsoft поддръжка.

    • Проверка на всички Microsoft комуникации чрез официалните канали, а не чрез автоматизирани покани.

#guest invitations, # Microsoft Entra, # TOAD, # социално инженерство, # фишинг
e-security.bg

Подобни

Критичен пробив в Sneeit Framework и нов DDoS ботнет
9.12.2025
malware
MuddyWater с нова кампания
9.12.2025
Iran-fingerprint
Разкрита е 14-годишна индонезийска кибероперация
9.12.2025
flag-2526462_640
Shanya: новият packer-as-a-service, който обезоръжава EDR системите
9.12.2025
men-4820716_640
Brickstorm: нова държавно-спонсорирана заплаха за критична инфраструктура
9.12.2025
industry-5742161_640
Разкриxа инфраструктурата на LockBit 5.0
8.12.2025
Stop - Ransomware - neon colors

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov
Kак да разпознаем и реагираме на фишинг имейл
9.10.2025
phishing-6573326_1280
Черният петък - реални сделки или маркетингов мираж?
27.11.2025
black_cat_Saro_o_Neal_Alamy

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.