Storm-2372 voert phishingcampagne uit met apparaatcodes
Microsoft waarschuwt voor een cyberaanval door een groep die ze Storm-2372 noemen, en die mogelijk banden heeft met Rusland.
Deze aanvallen zijn sinds augustus 2024 aan de gang en richten zich op overheden, ngo's en diverse industrieën wereldwijd. De aanvallers gebruiken een phishingtechniek genaamd "apparaatcode phishing", waarbij gebruikers worden misleid om in te loggen op apps zoals Microsoft Teams. Storm-2372 onderschept de inloggegevens (tokens) om toegang te krijgen tot de gecompromitteerde accounts.
Hoe werkt apparaatcode phishing?
Bij apparaatcode phishing genereren aanvallers een legitieme apparaatcode en misleiden het slachtoffer om deze in te voeren op een legitieme inlogpagina. Hierdoor krijgen de aanvallers toegang tot de account en kunnen ze gegevens stelen.
Storm-2372-aanvallen
Storm-2372 benadert slachtoffers via berichtenapps zoals WhatsApp, Signal en Microsoft Teams. Ze doen zich voor als een bekende persoon om vertrouwen te winnen en sturen vervolgens phishing e-mails met uitnodigingen voor online evenementen of vergaderingen. Deze uitnodigingen bevatten een apparaatcode die het slachtoffer moet invoeren, waardoor de aanvallers toegang krijgen.
Wat kunt u doen?
Microsoft adviseert om de apparaatcodeflow waar mogelijk te blokkeren en gebruikers te informeren over phishingtechnieken.
Aanvullende tips:
- Gebruik multifactor authenticatie (MFA).
- Blokkeer verouderde authenticatie.
- Centraliseer identiteitsbeheer.
- Beveilig accounts met goede wachtwoordhygiëne.
Microsoft Defender-gebruikers kunnen specifieke detecties en tools gebruiken om zich te beschermen tegen deze dreiging. Raadpleeg het volledige artikel van Microsoft voor meer informatie over de technische details en mitigatiemaatregelen.
