Firma Microsoft zgłosiła dużą kampanię phishingową, której celem było ponad 35 000 użytkowników w 13 000 firm w okresie od kwietnia 14 i 16 kwietnia 2026 r. Kampania dotknęła użytkowników w 26 krajach, a 92% e-maili phishingowych było skierowanych do organizacji w Stanach Zjednoczonych.
Sektory najbardziej dotknięte to opieka zdrowotna i nauki przyrodnicze (19%), usługi finansowe (18%), usługi profesjonalne (11%) oraz technologia i oprogramowanie (11%). Firma Microsoft nakreśliła taktykę zastosowaną w tej kampanii, zauważając, że ugrupowania zagrażające korzystały z dopracowanych szablonów HTML w stylu korporacyjnym, zaprojektowanych tak, aby wyglądały na uzasadnione.
W e-mailach phishingowych napastnicy podszywali się pod takie tożsamości, jak „Wewnętrzny kontroler COC”, „Komunikacja z pracownikami” i „Raport o postępowaniu zespołu”. Tematyka tych e-maili dotyczyła „wewnętrznych dzienników spraw” i zawierała ostrzeżenia o nieprzestrzeganiu zasad, co stwarzało u odbiorców poczucie pilności działania.
Do każdego e-maila dołączona była informacja wskazująca, że została wysłana za pośrednictwem autoryzowanego kanału wewnętrznego, potwierdzająca, że linki i załączniki zostały sprawdzone pod kątem bezpiecznego dostępu. Pomogło to zwiększyć wiarygodność e-maili.
Próby phishingu skutecznie ominęły tradycyjne zabezpieczenia poczty e-mail, w tym SPF, DKIM i DMARC, ponieważ osoby atakujące wysyłały wiadomości e-mail przy użyciu legalnych usług. Dołączone zostały złośliwe załączniki PDF przekierowujące ofiary na strony docelowe phishingowe.
Ofiary, które otworzyły pliki PDF, były kierowane przez wiele kodów CAPTCHA, aby stworzyć fałszywe poczucie legalności i odfiltrować wszelkie automatyczne skanowanie. Ostatecznym celem było zebranie danych uwierzytelniających i tokenów firmy Microsoft w czasie rzeczywistym, co umożliwiłoby atakującym obejście uwierzytelniania wieloskładnikowego (MFA).
