Microsoft 365 pozostaje jednym z najchętniej atakowanych ekosystemów na świecie. Aż 43% wszystkich prób phishingu podszywało się pod marki Microsoft. Głównie przez wzgląd na centralizację pracy, powszechność i ogromną liczbę kont usługowych oraz użytkowników końcowych.
Zdecydowana większość kampanii nie jest dziś kierowana do korporacji, atakujący idą tam, gdzie konfiguracja jest słabsza, a reakcja wolniejsza.
Duży wzrost liczby kampanii celowanych w M365
Od początku 2025 liczba ataków wymierzonych w konta Microsoft 365 rośnie miesiąc do miesiąca.
Najczęściej wykorzystywane techniki to:
- AiTM (Adversary-in-the-Middle) – przechwytywanie tokenów MFA
- Phishing przez Teams
- Phishing z użyciem nowych TLD (.zip, .app, .mov)
- Consent phishing i nadużycia OAuth
Jak działają nowoczesne kampanie phishingowe na M365
AiTM proxy
Atakujący korzystają z serwerów pośredniczących, które przechwytują login, hasło oraz kod MFA w czasie rzeczywistym. Pozwala to wejść do konta bez znajomości hasła i bez ponownego MFA.
Phishing na Teams
Rok 2025 przyniósł znaczący wzrost fałszywych komunikatów Teams – także masowych, a nie tylko ukierunkowanych.
Typowe scenariusze:
- fałszywe wiadomości z działu IT,
- zaproszenia do spotkań,
- phishing podszywający się pod HR lub kierownictwo.
Consent phishing (nadużycia OAuth)
Przestępcy podszywają się pod prawdziwe aplikacje proszące o dostęp do skrzynki, plików i kalendarzy. Użytkownik sam klika „Akceptuj”, przyznając atakującemu wielodniowy lub stały dostęp.
Kampanie generowane przez AI
AI wspiera przygotowanie e-maili i stron phishingowych tak realistycznych, że przestają wyglądać jak phishing. W raportach wskazano wzrost automatyzacji kampanii oraz generowania dużych wolumenów spersonalizowanych treści.
Dlaczego klasyczne środki bezpieczeństwa już nie wystarczą
- Coraz więcej ataków omija popularne rozwiązania antyspamowe
- MFA oparte na SMS/TOTP jest podatne na AiTM
- Brak kontroli OAuth jest obecnie jednym z głównych wektorów kompromitacji
Techniczne środki ochrony w M365 (must-have)
1. Conditional Access (Entra ID)
W raporcie Hornetsecurity podkreślono, że brak CA jest jedną z najczęstszych przyczyn skutecznego przejęcia konta.
Minimalne reguły:
- wymuszenie MFA,
- blokada logowań spoza kraju,
- wymóg zgodnych/zarządzanych urządzeń.
2. Phishing-resistant MFA
Raporty zgodnie wskazują na konieczność przejścia na:
- klucze FIDO2 (np. YubiKey),
- Windows Hello for Business,
- Passkeys.
3. Blokada legacy authentication
Brak blokady IMAP/POP/SMTP Basic Auth nadal jest jednym z najczęstszych błędów w środowiskach M365
4. Ograniczenie zgody na aplikacje OAuth
Raport Microsoftu wskazuje, że ponad 20% incydentów phishingowych w M365 w 2024–2025 dotyczyło nadużyć OAuth.
5. Monitoring i detekcja nietypowych aktywności
Kluczowe logi i alerty:
- Entra ID risk events
- anomalie w Teams/SharePoint/Exchange
- logi sign-in i tokenów.
Prosty plan naprawczy dla małej / średniej firmy
Te kroki wynikają bezpośrednio z rekomendacji analityków
Etap 1: Natychmiastowe działania
- włączenie nowoczesnego MFA (FIDO2 / passkeys),
- blokada legacy authentication,
- alerty bezpieczeństwa Entra ID.
Etap 2: Uporządkowanie środowiska
- konfiguracja podstawowych zasad Conditional Access,
- zablokowanie udzielania zgód OAuth przez użytkowników,
- kontrola urządzeń łączących się z M365.
Etap 3: Wzmocnienie odporności
- wdrożenie reguł dla Teams (ochrona przed phishingiem wewnętrznym),
- logowanie zdarzeń i monitoring anomalii,
- cykliczne szkolenia + testy phishingowe.
| Źródła |
|---|
|
|
Twoja organizacja polega na IT bardziej niż się wydaje
Jeśli po tym artykule chciałbyś pogłębić temat, możesz omówić to z zespołem Cloudcomp.pl. Bez zobowiązań.
Porozmawiajmy
