Tycoon2FA preuzima Microsoft 365 naloge preko device-code phishinga
Tycoon2FA phishing kit sada podržava device-code phishing napade na Microsoft 365 naloge i koristi Trustifi click-tracking URL-ove kao deo lanca preusmeravanja. Žrtva dobija phishing poruku, prolazi kroz lažnu Microsoft CAPTCHA stranicu, a zatim se navodi da unese kod na legitimnoj Microsoft stranici microsoft.com/devicelogin. Kada korisnik potvrdi prijavu i MFA, Microsoft izdaje OAuth access i refresh tokene uređaju koji kontroliše napadač. BleepingComputer navodi da kit ima razvijene mehanizme za izbegavanje analize, uključujući blokiranje istraživačkih alata, sandbox okruženja, VPN-ova, security vendora i AI crawlera.
Posebno je nezgodno što napad koristi legitimni Microsoft login tok, pa korisnik ima utisak da radi pravu stvar i da ga MFA štiti. Za firme koje koriste Microsoft 365, odbrana više ne može da se oslanja samo na prepoznavanje lažnih stranica, jer ovde problem nastaje u autorizaciji napadačevog uređaja i krađi tokena.
- Onemogućiti OAuth device code flow ako nije potreban u organizaciji
- Ograničiti OAuth consent i zahtevati administratorsko odobrenje za aplikacije trećih strana
- Uključiti Conditional Access, Continuous Access Evaluation i pristup samo sa usklađenih uređaja
- Pratiti Entra logove za deviceCode autentifikaciju, Microsoft Authentication Broker i neobične Node.js user agente
- Obučiti korisnike da ne unose kodove na microsoft.com/devicelogin ako sami nisu započeli prijavu na poznatom uređaju