Hakeri su primijećeni kako zloupotrebljavaju složeno rutiranje i nepravilno konfigurisane zaštite od spoofinga u phishing napadima, upozorava Microsoft.
Lažiranjem legitimnih domena, napadači čine svoje phishing mejlove efikasnijim, jer izgledaju kao da su poslati interno.
Ovaj vektor napada, kako navodi Microsoft, korišćen je u oportunističkim kampanjama koje pokreću phishing-as-a-service (PhaaS) platforme poput Tycoon2FA, a ciljane su različite industrije.
Phishing poruke sadrže mamce vezane za dijeljenje dokumenata, HR komunikaciju, fakture, resetovanje lozinki i govornu poštu, što dovodi do kompromitovanja kredencijala koji se potom mogu zloupotrijebiti za kompromitovanje poslovne email komunikacije (BEC) ili krađu podataka.
Prema Microsoftu, ranjive organizacije su konfigurisale složene scenarije rutiranja bez striktno nametnutih zaštita od spoofinga, te imaju MX zapise koji ne upućuju na Office 365, što napadačima omogućava slanje poruka koje izgledaju kao da dolaze sa domena žrtava.
Tehnološki gigant ističe da ovo nije ranjivost Direct Send funkcije, Microsoft 365 Exchange Online opcije koja omogućava uređajima i aplikacijama da šalju mejlove bez autentifikacije preko domena organizacije.
„Postavljanje strogih Domain-based Message Authentication, Reporting, and Conformance (DMARC) politika sa odbijanjem (reject) i SPF hard fail (umjesto soft fail), kao i pravilno konfigurisanje konektora trećih strana, spriječiće phishing napade koji lažiraju domene organizacija“, navodi Microsoft.
U oktobru 2025. godine, ova tehnološka kompanija blokirala je preko 13 miliona zlonamjernih mejlova koji su poticali sa Tycoon2FA PhaaS platforme, od kojih su mnogi lažirali interne domene.
Tycoon2FA i slične platforme, objašnjava Microsoft, obezbjeđuju akterima prijetnji infrastrukturu za napade i mogućnosti poput adversary-in-the-middle (AiTM) phishinga, koji im omogućava da zaobiđu zaštite višefaktorske autentifikacije (MFA).
„Većina phishing poruka poslatih ovim vektorom napada koristi iste mamce kao i klasične phishing poruke, maskirajući se kao servisi poput DocuSign-a ili kao HR komunikacija u vezi sa promjenama plata ili beneficija, odnosno resetovanjem lozinki“, navodi tehnološki gigant.
Microsoft je obezbijedio resurse koji pomažu organizacijama da pravilno konfigurišu konektore i pravila za protok pošte radi blokiranja spoofovanih mejlova, kao i upite za otkrivanje povezane aktivnosti.
Izvor: SecurityWeek