TOAD-phishingkampagnen er blevet en alvorlig trussel mod brugere af Microsoft Entra. Cyberkriminelle sender gæsteinvitationer, der ser legitime ud, men som indeholder falske fakturaer og instruktioner om at ringe til et bestemt telefonnummer. Metoden kombinerer misbrug af cloud-identitet med telefonbaserede angreb og kræver øjeblikkelig opmærksomhed fra både organisationer og brugere.
Sådan fungerer angrebet
Angriberne udnytter gæsteinvitationsfunktionen i Microsoft Entra ID (tidligere Azure Active Directory). Funktionen gør det muligt for virksomheder at invitere eksterne brugere til sikker samarbejde. Trusselsaktører opretter invitationer, der fremstår som om de kommer fra en betroet afsender.
E-mailen indeholder en falsk faktura og beder modtageren om at ringe til et telefonnummer. Når opkaldet er etableret, udgiver svindleren sig for at være en medarbejder fra økonomi eller support. De forsøger derefter at presse offeret til at dele følsomme oplysninger, installere software eller give adgang til interne systemer. Denne metode kaldes Telephone-Oriented Attack Delivery (TOAD).
Ved at udnytte Entras gæsteinvitationer kan angriberne omgå traditionelle e-mailfiltre. Invitationen sendes gennem legitim Microsoft-infrastruktur og lander derfor i indbakken uden advarsler.
Hvorfor dette er alvorligt
TOAD-kampagnen indebærer flere kritiske risici:
• Falske fakturaer kombineret med troværdige cloud-invitationer gør angrebet meget overbevisende. Ofre tror, de taler med en reel økonomiafdeling.
• Kombinationen af digital kommunikation og telefonopkald øger manipulationsevnen markant. En stemme i røret skaber autoritet og pres.
• Misbrug af Microsoft Entra-invitationsflow viser, at samarbejdsfunktioner kan blive angrebsvektor.
• Et vellykket angreb kan give angribere adgang til identitetssystemer og mulighed for yderligere kompromittering.
Organisationer, der bruger Entra ID, bør betragte denne kampagne som en direkte og presserende trussel.
Anbefalinger til organisationer
• Gennemgå gæsteinvitationsprocesser i Microsoft Entra. Begræns automatiske invitationer og verificér modtagere.
• Træn medarbejdere i at være skeptiske over for uventede fakturaer og telefonnumre i e-mails.
• Implementér MFA og overvåg usædvanlige telefonrelaterede hændelser i forbindelse med adgangsanmodninger.
• Segmentér gæstekonti, så de ikke kan få adgang til kritiske identitets- eller infrastruktursystemer.
• Hold øje med tegn på telefonbaseret manipulation og gennemgå relaterede logfiler.
Anbefalinger til enkeltpersoner
• Ring aldrig til et telefonnummer, der kommer via en uventet invitation eller faktura, uden at verificere det separat.
• Hvis du modtager en faktura knyttet til en gæsteinvitation, tjek afsenderen via dine normale kontaktkanaler.
• Vær opmærksom på invitationer, der virker meget hastende eller påtrængende.
• Rapporter mistænkelige invitationer til din IT- eller sikkerhedsafdeling.
Konklusion
TOAD-phishingkampagnen, der udnytter Microsoft Entra-gæsteinvitationer, markerer en sofistikeret udvikling inden for phishingtrusler. Ved at kombinere legitime samarbejdsinvitationer med falske fakturaer og telefonkontakt øger angriberne chancerne for succes betydeligt.
Organisationer bør styrke kontrollen med gæsteadgang, uddanne medarbejdere og overvåge usædvanlige kommunikationsmønstre. Enkeltpersoner bør verificere uventede opkald og fakturaer. Hurtig handling kan forhindre, at kampagnen fører til større databrud eller systemkompromittering.
0 svar til “TOAD-phishingkampagne udnytter Microsoft Entra-invitationer”