Duty-Free.cc
Новости

Хакеры нашли способ вывести деньги через Outlook: одна ошибка в письме — и счёт пуст

Duty News 0 2 дня назад

Хакеры перенаправляют зарплаты через Outlook и Workday: Microsoft раскрыла новую схему атак

Компания Microsoft Threat Intelligence сообщила о масштабной кибератаке, в ходе которой преступная группа Storm-2657 похищает учётные данные сотрудников университетов и компаний, чтобы перенаправлять их зарплаты на собственные счета.

Исследователи назвали схему «payroll pirate» — «пират заработной ведомости». По данным Microsoft, злоумышленники действуют с начала 2025 года, используя продуманные фишинговые письма и приёмы adversary-in-the-middle (AitM) для кражи кодов многофакторной аутентификации.

Получив доступ к корпоративной почте, атакующие проникают в облачные HR-системы, такие как Workday, где меняют банковские реквизиты сотрудников. Чтобы скрыть вмешательство, они создают в Outlook фильтры, автоматически удаляющие уведомления Workday о любых изменениях профиля.

По данным Microsoft, зафиксировано не менее 11 взломов в трёх университетах. С этих аккаунтов рассылались тысячи фишинговых писем на другие кампусы — всего около 6 тысяч потенциальных жертв в 25 учебных заведениях. Темы писем варьировались от сообщений о якобы заболевших коллегах («COVID-like case reported») до уведомлений о выплатах и компенсациях. Для правдоподобия часто использовались ссылки на Google Docs, что затрудняло выявление угрозы.

Хакеры не только подменяли платёжные данные, но и добавляли собственные телефоны в качестве устройств MFA, что позволяло удерживать контроль над профилем.

Microsoft подчёркивает, что уязвимости в Workday нет: проблема в слабой защите MFA. Компания советует переходить на фишинг-устойчивые методы аутентификации — FIDO2-ключиWindows Hello for Business и Microsoft Authenticator, а администраторам включать эти методы в Entra ID и внедрять безпарольную авторизацию.

В отчёте Microsoft приведены рекомендации и поисковые запросы, помогающие обнаружить признаки компрометации — от подозрительных фильтров в Outlook до изменений платёжных реквизитов. Компания также уведомила пострадавшие организации и передала им данные об инструментах и тактике злоумышленников.