AI-tjänst används för att kapa Microsoft 365-konton

Computer Sweden

Säkerhetsforskare varnar för Forg 365, en AI-baserad nätfisketjänst (phishing-as-a-service) som används för att stjäla Microsoft 365-konton. Tjänsten är mer avancerad än liknande verktyg eftersom den utnyttjar legitima plattformar som Amazon SES och Cloudflare Pages för att smita förbi Microsofts inloggningsskydd. IT-administratörer rekommenderas att granska sina loggar för misstänkt aktivitet.

Djupdykning

Forg 365 är det senaste exemplet på vad säkerhetsfolk kallar "phishing-as-a-service" – färdiga verktyg som säljs till cyberkriminella som inte nödvändigtvis vet hur man kodar, men som gärna köper ett nyckelfärdigt sätt att lura folk på inloggningsuppgifter. Det som gör Forg 365 lite mer irritant än sina föregångare är att den utnyttjar legitima tjänster som Amazon SES (ett e-postutskickssystem som används av riktiga företag) och Cloudflare Pages (en vanlig webbhotelltjänst) – vilket gör att säkerhetsfilter som är tränade på att flagga skumma avsändare helt enkelt inte känner igen attacken som ett hot. Microsoft 365-konton är ett tacksamt mål eftersom de ofta ger tillgång till e-post, filer och interna system på en och samma gång, vilket gör en komprometterad inloggning till en startpunkt snarare än ett slutmål. Det de flesta missar i rapporteringen kring den här typen av tjänster är att hotet inte primärt riktas mot teknikjättar eller banker – det är medelstora företag och kommuner med understaffade IT-avdelningar som är den verkliga målgruppen, för de har värdefull data men sällan resurser att hålla koll på avancerade loggar dygnet runt. Rådet att granska Microsoft 365-loggar är korrekt men underskattar hur svårt det faktiskt är att skilja misstänkt aktivitet från normal inloggning när angriparen använder betrodda plattformar som mellanhand.