Mange mennesker føler seg fortsatt relativt trygge når de aktiverer tofaktorautentisering på kontoene sine.
Logikken virker enkel. Selv om noen stjeler passordet, trenger de fortsatt bekreftelseskoden også. Men cybersikkerhetseksperter advarer nå om at ting ikke lenger fungerer så pent.
FBI har utstedt en advarsel om en økende phishing-svindel rettet mot Microsoft 365-brukere som kan gi angripere tilgang til kontoer uten at ofrene direkte gir fra seg passordene deres i det hele tatt.
Og ærlig talt, det er nettopp derfor svindelen gjør folk nervøse. Fordi mange ofre ikke skjønner at de blir hacket mens det skjer.
Trusselen er kjent som Kali365, en phishing-plattform som sikkerhetsforskere sier er spesielt utviklet for å målrette Microsoft-kontoer ved å lure brukere til å autorisere tilgang selv.
Når det skjer, kan hackere forbli koblet til e-poster, skyfiler og bedriftssystemer i lange perioder uten å be om passord eller bekreftelseskoder gjentatte ganger.
Ifølge FBI blir svindelen spesielt bekymrende fordi kunstig intelligens nå hjelper cyberkriminelle med å lage langt mer overbevisende falske e-poster og phishing-kampanjer enn før.
Meldinger ser renere ut. Ordlyden høres mer naturlig ut. Og de vanlige åpenbare advarselsskiltene folk en gang stolte på, blir mye vanskeligere å få øye på.
Hvorfor denne svindelen føles farligere enn eldre phishing-e-poster
De fleste kjenner allerede til det klassiske phishing-scenarioet.
Du mottar en e-post som utgir seg for å være fra en bank eller nettplattform. Den ber deg om å logge på raskt. Du skriver inn passordet ditt på en falsk side og svindleren stjeler legitimasjonen din.
Kali365 fungerer annerledes, og den forskjellen betyr noe.
I stedet for å fokusere hovedsakelig på passord, retter svindelen seg mot noe de fleste vanlige brukere aldri har hørt om før.
Innloggingsøkt-tokens. Disse tokenene er det som lar folk forbli pålogget tjenester som Outlook, Teams eller OneDrive uten konstant å skrive inn passord igjen i løpet av dagen.
I utgangspunktet holder de økten aktiv i bakgrunnen. Nettkriminelle har innsett at det å stjele disse tokenene noen ganger kan være enda mer nyttig enn å stjele passord direkte.
I følge FBI-advarselen sender angripere som bruker Kali365 vanligvis e-poster som utgir seg for å komme fra produktivitetsverktøy eller dokumentdelingstjenester knyttet til Microsoft 365.
Ofre blir deretter bedt om å bekrefte en enhetskode gjennom det som ser ut til å være en legitim Microsoft-side. Og det er her fellen blir smart.
For teknisk sett kan selve siden faktisk tilhøre Microsoft. Det gjør at prosessen føles pålitelig. Men det brukere uvitende gjør er å godkjenne tilgang for angriperens enhet i stedet for sin egen.
Når forespørselen er akseptert, kan angriperen potensielt få tilgang til e-poster, skydokumenter og tilkoblede Microsoft-tjenester mens han fremstår som en legitim autentisert bruker. Og fordi systemet er avhengig av godkjent økttilgang i stedet for gjentatte passordforespørsler, kan inntrengningen forbli ubemerket mye lenger.
AI gjør at phishing-svindel ser langt mer troverdig ut
En grunn til at sikkerhetsbyråer blir stadig mer bekymret, er rollen kunstig intelligens nå spiller i moderne phishing-angrep.
For mange år siden så svindel-e-poster ofte latterlige ut: Dårlig grammatikk, merkelig formatering, tilfeldige store bokstaver og meldinger som var dårlig oversatt til engelsk.
Mange kunne gjenkjenne dem umiddelbart. Det endrer seg veldig raskt.
AI-verktøy lar nå svindlere generere polerte e-poster som høres naturlig og profesjonelle ut på flere språk i løpet av sekunder.
Og det er å senke folks vakthold. Fordi mange brukere fortsatt forventer at phishing-forsøk skal føles åpenbart mistenkelige.
Nå ser noen falske e-poster nesten identiske ut med ekte arbeidsplassvarsler.
FBI sier at plattformer som Kali365 også gir angripere tilgang til automatiserte phishing-maler, kampanjestyringssystemer og sporingspaneler som viser hvilke ofre som har interagert med meldinger.
Enkelt sagt blir nettkriminalitet lettere å organisere og langt mer skalerbar. Og eksperter sier at det betyr at vanlige brukere i økende grad også blir mål, ikke bare store selskaper.
Microsoft 365-kontoer er spesielt attraktive fordi de ofte inneholder mange år med e-poster, finansiell informasjon, skylagring, arbeidsdokumenter og sensitive samtaler, alt koblet til i samme økosystem.
For nettkriminelle kan det å få tilgang til én konto noen ganger åpne døren for mye mer enn folk i utgangspunktet forestiller seg.
Hvorfor vanlige brukere skal slutte å anta MFA alene er nok
Mange tror fortsatt å aktivere multifaktorautentisering automatisk gjør kontoen deres sikker.
Sikkerhetsspesialister sier at det fortsatt er ekstremt viktig og absolutt verdt å bruke.
Men svindel som Kali365 viser at autentiseringssystemer fortsatt kan omgås hvis brukere ved et uhell autoriserer ondsinnet tilgang selv. Og det er nettopp det som gjør disse angrepene psykologisk effektive.
De utnytter tillit mer enn tekniske svakheter. E-posten kan virke normal. Bekreftelsesforespørselen kan virke rutinemessig. Brukeren kan tro at de beskytter kontoen mens de faktisk gir over tilgang. Det er grunnen til at nettsikkerhetseksperter fortsetter å gjenta de samme rådene.
Senk farten før du godkjenner uventede påloggingsforespørsler. Sjekk om du virkelig startet handlingen selv. Og hvis noe føles rart, stopp før du klikker noe videre. Fordi moderne phishing-svindel ikke lenger bare er avhengig av å stjele passord.
I økende grad er de avhengige av å overbevise folk om at det ikke skjer noe mistenkelig i det hele tatt.
Og med AI som nå hjelper angripere med å lage mer realistisk svindel enn noen gang før, tror sikkerhetseksperter at mange snart vil oppdage at svindel på nettet ikke lenger ser ut som de forventer.
