Нова вълна на фишинг атаки срещу потребители на Microsoft 365 чрез Entra passkey

Нова вълна на фишинг атаки срещу потребители на Microsoft 365 чрез Entra passkey
Злонамерени лица използват гласови измами, за да подмамват потребители на Microsoft 365 да регистрират фалшив Entra passkey. Тази тактика за социално инженерство застрашава сигурността на корпоративни данни и подчертава необходимостта от повишено внимание при автентикация.

В последно време се наблюдава нова форма на фишинг атаки, насочени към потребителите на Microsoft 365, която използва гласови съобщения с молба за регистрация на Entra passkey. Този метод на измама, известен като vishing, представлява сериозна заплаха за сигурността на организациите, използващи облачните услуги на Microsoft.

Какво се случва?

Злонамерени лица се представят за служители на техническата поддръжка или отдел по сигурността и се свързват с потребители на Microsoft 365 чрез телефонни обаждания. Те ги убеждават да регистрират нов Entra passkey – метод за автентикация, който Microsoft насърчава като по-сигурна алтернатива на паролите. В действителност обаче, тези фалшиви заявки целят да откраднат достъп до корпоративни акаунти и чувствителна информация.

Защо това е важно?

Microsoft 365 е една от най-широко използваните платформи за бизнес комуникация и сътрудничество, което я прави привлекателна цел за киберпрестъпници. Използването на Entra passkey като част от атаката е особено тревожно, тъй като този метод е предназначен да повиши сигурността чрез премахване на паролите. Ако потребителите бъдат подведени да регистрират фалшив passkey, това може да доведе до компрометиране на акаунти и достъп до корпоративни ресурси.

По-широк контекст

В последните години компаниите все повече инвестират в усъвършенствани методи за автентикация, като многофакторна идентификация и passkey системи, за да намалят риска от кражба на данни. Въпреки това, социалното инженерство остава един от най-ефективните начини за пробив в сигурността, тъй като се възползва от човешката доверчивост и липса на информираност.

Тази нова вълна на vishing атаки подчертава необходимостта от обучение на служителите и въвеждане на строги протоколи за потвърждаване на автентичността на всяка заявка за промяна на методите за вход в системите.

Какво може да последва?

Организациите трябва да засилят мерките за защита и да повишат осведомеността на служителите относно подобни атаки. Това включва регулярни обучения, симулации на фишинг атаки и внедряване на допълнителни слоеве на сигурност, като например използване на хардуерни токени или биометрични методи.

От своя страна, доставчиците на услуги като Microsoft вероятно ще продължат да развиват технологиите си за защита и да предоставят инструменти за по-лесно разпознаване и блокиране на подобни опити за измама.

В заключение, тази нова форма на атака е напомняне, че технологичният напредък трябва да върви ръка за ръка с повишена бдителност и образование на потребителите, за да се гарантира сигурността на цифровите активи.

Тази статия е автоматично обобщена и структурирана от AI News Tech въз основа на публично достъпни технологични източници.

Източници

Видео по темата

Claude is definitely not conscious…
Claude is definitely not conscious… Fireship
This Amazing Gaming chair makes me Sick
This Amazing Gaming chair makes me Sick Linus Tech Tips
DF Direct Q+A: Xbox 'Reset' Worse Than Expected - Huge Job Losses + The End of idTech?
DF Direct Q+A: Xbox 'Reset' Worse Than Expected - Huge Job Losses + The End of idTech? Digital Foundry
DeepSeek's New AI Speed Hack Is Amazing
DeepSeek's New AI Speed Hack Is Amazing Two Minute Papers