TOAD-phishingkampanjen har blivit ett allvarligt hot mot användare av Microsoft Entra. Cyberkriminella skickar gästinbjudningar som ser legitima ut men som i själva verket innehåller falska fakturor och instruktioner om att ringa ett angivet telefonnummer. Den här metoden kombinerar missbruk av molnidentiteter med telefonbaserade attacker och kräver omedelbara försvarsåtgärder.
Hur attacken fungerar
Angriparna utnyttjar gästinbjudningsfunktionen i Microsoft Entra ID (tidigare Azure Active Directory). Funktionen gör det möjligt för organisationer att bjuda in externa användare för säker samverkan. Kriminella skapar inbjudningar som ser ut att komma från en betrodd avsändare.
E-postmeddelandet som levereras innehåller en falsk faktura och uppmanar mottagaren att ringa ett telefonnummer. När samtalet kopplas fram utger sig bedragaren för att vara en ekonomi- eller supportrepresentant. Därefter pressas målet att lämna ut känslig information, installera programvara eller ge åtkomst till interna system. Denna metod kallas Telephone-Oriented Attack Delivery (TOAD).
Genom att använda Entras gästinbjudningar kan angriparna kringgå vanliga e-postfilter. Eftersom inbjudan skickas via legitim infrastruktur ser den äkta ut och hamnar direkt i inkorgen utan varningssignaler.
Varför detta är allvarligt
Den här TOAD-kampanjen innebär flera risker:
• Falska fakturor + betrodda molninbjudningar = hög träffsäkerhet. Målen tror att de kontaktar en riktig ekonomiavdelning.
• Kombination av digitala och telefonbaserade angrepp. En röst i luren gör det mycket enklare för angriparen att manipulera offret.
• Missbruk av Microsoft Entra-arbetsflöden. Gäståtkomst — som ska underlätta samarbete — blir en angreppsyta.
• Möjlighet till vidare intrång. Lyckas angriparna kan de etablera fotfäste i identitetssystemen och sprida sig till fler delar av organisationen.
Alla organisationer som använder Entra ID bör betrakta denna kampanj som ett direkt hot.
Rekommendationer för organisationer
• Granska och begränsa gästinbjudningar i Microsoft Entra. Verifiera mottagare innan inbjudningar skickas.
• Utbilda personal att vara försiktig med fakturor och telefonnummer i oväntade meddelanden.
• Kräva multifaktorautentisering och övervaka ovanlig telefonrelaterad aktivitet kopplad till åtkomstförsök.
• Segmentera gästkonton så att de inte kan nå känsliga identitets- eller infrastruktursystem.
• Granska loggar och notera ovanliga röstbaserade kontaktförsök.
Rekommendationer för individer
• Ring aldrig ett telefonnummer som skickats i en oväntad inbjudan eller faktura utan att verifiera det separat.
• Bekräfta avsändaren via ordinarie kontaktvägar om du får en faktura kopplad till en gästinbjudan.
• Var uppmärksam på inbjudningar som kräver snabb handling eller verkar ovanligt pressande.
• Rapportera misstänkta meddelanden till din IT- eller säkerhetsavdelning.
Slutsats
TOAD-phishingkampanjen som riktar sig mot Microsoft Entra-gästinbjudningar markerar en avancerad utveckling i phishinghoten. Genom att kombinera betrodda samarbetsinbjudningar med falska fakturor och telefonkontakt ökar angriparna sina chanser dramatiskt.
Organisationer måste stärka sin hantering av gäståtkomst, utbilda personal och övervaka ovanliga interaktioner. Individer måste verifiera oväntade samtal och fakturor. Snabbt agerande hjälper till att förhindra att kampanjen leder till omfattande intrång.
0 svar till ”TOAD-phishingkampanj utnyttjar Microsoft Entra-inbjudningar”