In jüngster Zeit identifizierten Sicherheitsforscher eine Kampagne, um die Löhne kanadischer Mitarbeiter zu stehlen, indem sie eine Kombination von Techniken verwenden, die bereits in den letzten Jahren zugenommen haben: geschmiedete Anmeldeseiten, die Sitzungstoken und Eintrittskartenregeln abfangen, die jeglichen Personalauftritt schweigen. Die Gruppe, die hinter diesem Schema steckt, als Storm-2755, er stimmte nicht zu, Benutzernamen und Passwörter zu erfassen: sein Ziel war es, die bereits authentifizierten Sitzungen wieder zu verwenden, um mit Straflosigkeit innerhalb von Microsoft 365 und Payroll-Plattformen Umgebungen zu bewegen.
Betrugsmechanik ist Teil einer klassischen verbesserten Phishing-Taktik: Angreifer Platz an der Spitze der Suchergebnisse oder bösartige Anzeigen, die Microsoft 365 Startformen imitieren. Wenn das Opfer zu authentifizieren versucht, wirkt die Seite als Echtzeit-Proxy - eine Technik als negativ-in-the-middle (AiTM) - und erfasst Cookies und OAuth-Token nach erfolgreicher Authentifizierung. Diese Token entsprechen einer Sitzung, die bereits übernommen wurde, und so können Kriminelle sie wieder auf Dienste zugreifen, ohne wieder nach dem Passwort oder dem Multifaktorcode gefragt zu werden. Microsoft erklärt ausführlicher, wie diese Angriffe funktionieren und der Fluss gefolgt von Storm-2755 in seinem technischen Bericht vor kurzem veröffentlicht.
Ein konkretes Beispiel, das die Täuschung illustriert, ist die Verwendung von legitimen Domains, um falsche Seiten (unter den Namen, zum Beispiel Bluegraintours [.] com), und die Förderung dieser Seiten durch Maldumping oder "Vergiftung" Techniken von Suchmaschinen. Das Ergebnis: Opfer, die glauben, dass sie auf Microsoft 365 zugreifen, wenn sie tatsächlich die Anmeldeinformationen liefern und, kritischer, die Beweise einer bereits validierten Sitzung.
Einmal in einem Kompromißkonto, die Angreifer setzen Maßnahmen an, um sicherzustellen, dass das Opfer nicht Intrusion erkennt. Sie erstellen automatische Regeln im Posteingang, die Personal-E-Mails in versteckte Ordner verschieben, die Schlüsselwörter wie "direct deposit" oder "bank" enthalten, die verhindern, dass der Benutzer Kommunikation auf Payroll-Änderungen sehen. Sie suchen dann E-Mails im Zusammenhang mit "Payroll", "HR", direkte Einzahlung "oder" Finanzen "und stellen als Mitarbeiter zu fragen Personal Personal Personal Personal Bankdaten aktualisieren. Wenn Social Engineering nicht funktioniert, nutzen die Gegner die gestohlene Sitzung, um direkt in Personalmanagement-Plattformen wie Workday einzusteigen und die Konten zu ändern, um Transfers abzuleiten.
Diese Art von Betrug, bekannt als "Payroll-Pirate" oder Payroll-Hacking, ist eine Variante der Business-Mail-Vermittlungsprogramme (BEC), die Zielorganisationen und Personen, die regelmäßige Geldtransfers. Die Größe des Problems ist enorm: Nach dem Jahresbericht des FBI erhielt IC3 im Jahr 2025 mehr als 24.000 BEC-Beschwerden mit Verlusten von mehr als 3 Milliarden US-Dollar, was diesen Betrug auf globaler Ebene zu den lukrativsten macht. nach dem IC3 selbst.
Sicherheitsteams haben mehrere Hebel, um das Risiko dieses Angriffsvektors zu reduzieren, und viele gehen, indem verhindert wird, dass ein gestohlener Token wieder verwendet wird. Block "legacy"-Authentifizierungsprotokolle und adoptieren phishing-resistente MFA-Methoden sind wichtige Maßnahmen. Organisationen wie NIST bieten Leitlinien für Identitätsmanagement und Authentifizierung, die die Vermeidung von verletzlichen Mechanismen empfehlen; außerdem erklären Microsoft und andere Plattformen, wie man FIDO2-basierte oder zertifizierte Methoden implementiert, die die Arbeit von AiTM-Proxies stark beeinträchtigen. Für einen phishing-resistenten MFA praktischen Rahmen, Microsoft technische Dokumentation zu diesem Sicherheitsansatz ist verfügbar. Hier. und NIST-Zugriffskontrollen helfen, die zugrunde liegenden Prinzipien zu verstehen in diesem Dokument.
Wenn ein Eindringen erkannt wird, ist die schnelle Antwort unerlässlich: die begangenen Sitzungen und Token zu widerrufen, verdächtige Tablettregeln zu entfernen, die Wiederherstellung von Authentifizierungs- und Anmeldefaktoren zu zwingen und den Zugriff auf Payroll-Systeme zu überprüfen. Microsoft enthält diese operativen Empfehlungen in seinem Bericht über Storm-2755 und Eindämmungsmaßnahmen sollten technische Maßnahmen mit einer forensischen Überprüfung kombinieren, um das Ausmaß des Missbrauchs zu verstehen.
Dieser Vorfall ist Teil eines breiteren Trends. Letzten Oktober, Microsoft intervenierte, um eine weitere Payroll-Hacking-Kampagne - einem anderen Schauspieler zugeschrieben, Storm-2657 -, dass seit März 2025 hatte Kompromisse Workday-Konten von Universitätsmitarbeitern in den Vereinigten Staaten. Die Taktik war ähnlich: Phishing kombiniert mit AiTM-Techniken, um MFA zu vermeiden und die Kontrolle der Online-Austausch-Postfächer zu nehmen, um Zahlungen zu manipulieren.
Für Organisationen ist die Lektion zweifach: einerseits technische Kontrollen zu stärken (alter Authentifizierungsblock, MFA phishing-resistent, Sitzungsüberwachung und automatischer Widerruf gegen anormales Verhalten). Auf der anderen Seite, die Personal- und Finanzverfahren anzupassen, um Änderungen in Bankkonten mit mehreren Kanälen außerhalb der üblichen E-Mail zu validieren und RR-Personal zu halten. HH ausgebildet, um verdächtige Anwendungen zu erkennen. Es ist auch wichtig, dass Werbe-Beschaffungsteams und Suchmaschinen-Reputatoren steuern, wo Anzeigen angezeigt werden und überwachen mögliche bösartige Inhalte, die verstopfte Seiten fördern können.
Letztendlich zeigen diese Angriffe, dass die moderne Sicherheit nicht mehr nur von einem guten Passwort oder einem zweiten traditionellen Faktor abhängt: anspruchsvolle Gegner nutzen ihre eigenen Authentifizierungsmechanismen, um sie in Eingangstüren zu verwandeln. Effektive Verteidigung erfordert die Kombination von Technologie, Prozessen und Governance, so dass eine gestohlene Sitzung nicht mehr ein kostenloses Ticket für Payroll-Konten sein wird. Für diejenigen, die sich vertiefen wollen, sind Microsoft und IC3 Quellen ein fester und aktueller Ausgangspunkt für die Art dieser Bedrohungen und empfohlenen Gegenmaßnahmen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...