Η Microsoft εξέδωσε μια σημαντική ειδοποίηση ασφαλείας, προειδοποιώντας ότι οι hackers έχουν εκμεταλλευτεί λανθασμένες διαμορφώσεις δρομολόγησης email για να στέλνουν phishing μηνύματα που φαίνεται να προέρχονται από το εσωτερικό των συγκεκριμένων οργανισμών, σηματοδοτώντας μια απότομη κλιμάκωση στις επιθέσεις παραποίησης εσωτερικού domain σε σχέση με τον Μάιο του 2025.
Η ομάδα Microsoft Threat Intelligence ανέφερε ότι μπλόκαρε περισσότερα από 13 εκατομμύρια κακόβουλα emails που συνδέονται με την πλατφόρμα phishing-as-a-service Tycoon 2FA μόνο τον Οκτώβριο του 2025, με την πλειονότητα των καμπανιών να εκμεταλλεύεται αυτό το πρόβλημα λανθασμένης διαμόρφωσης. Οι επιθέσεις επιτυγχάνουν όταν οι οργανισμοί κατευθύνουν τις εγγραφές των μέιλ σε άλλους σέρβερ ή υπηρεσίες τρίτων πριν φτάσουν στο Microsoft 365, ενώ παράλληλα διατηρούν επιεικείς πολιτικές στην αυθεντικοποίηση του domain και στα υπόλοιπα απαραίτητα πρωτόκολλα που χρησιμοποιούνται.
Σε τέτοιες ρυθμίσεις, τα κακόβουλα emails μπορεί να περάσουν τα φίλτρα και να εμφανιστούν σαν να έχουν σταλεί από το ίδιο το οργανωτικό domain, γεγονός που αυξάνει δραματικά την πιθανότητα οι χρήστες να τα εμπιστευτούν και να «τσιμπήσουν» στους μηχανισμούς phishing
Πώς λειτουργούν οι επιθέσεις
Η ευπάθεια εκδηλώνεται όταν πολύπλοκα σενάρια δρομολόγησης δημιουργούν κενά ασφαλείας που οι επιτιθέμενοι εκμεταλλεύονται για να παραδίδουν πλαστά emails phishing με τη διεύθυνση του παραλήπτη τόσο στο πεδίο “Προς” όσο και στο πεδίο “Από”, κάνοντας τα μηνύματα να φαίνονται ότι στέλνονται εσωτερικά. Η Microsoft σημείωσε ότι οι καμπάνιες phishing που αξιοποιούν αυτή την προσέγγιση έχουν χρησιμοποιήσει ως δέλεαρ θέματα που αφορούν φωνητικά μηνύματα, κοινόχρηστα έγγραφα, επικοινωνίες ανθρώπινου δυναμικού και επαναφορές κωδικών πρόσβασης για να συλλέξουν διαπιστευτήρια.
Η πλατφόρμα Tycoon 2FA χρησιμοποιεί τεχνικές adversary-in-the-middle με χρήση διακομιστών reverse proxy για να υποκλέψει διαπιστευτήρια και cookies συνεδρίας σε πραγματικό χρόνο, επιτρέποντας στους επιτιθέμενους να παρακάμψουν τις προστασίες πολυπαραγοντικού ελέγχου ταυτότητας. Ερευνητές ασφαλείας στην Proofpoint και την Cybereason επιβεβαίωσαν ότι η πλατφόρμα στοχεύει κυρίως λογαριασμούς Microsoft 365 και Gmail, με το malware tracker της Any.run να καταγράφει πάνω από 64.000 περιστατικά Tycoon 2FA το 2025.
Συστάσεις ασφαλείας
Η Microsoft προέτρεψε τους οργανισμούς να εφαρμόσουν αυστηρές πολιτικές απόρριψης DMARC και διαμορφώσεις αυστηρής αποτυχίας SPF αντί για ρυθμίσεις ήπιας αποτυχίας, διασφαλίζοντας παράλληλα τη σωστή διαμόρφωση των συνδέσμων τρίτων μερών, συμπεριλαμβανομένων των υπηρεσιών φιλτραρίσματος spam και των εργαλείων αρχειοθέτησης. Η Microsoft υπενθυμίζει ότι οι οργανισμοί των οποίων τα MX records δείχνουν απευθείας σε Microsoft 365 είναι καλυμμένοι από ενσωματωμένες πολιτικές spoofing detection, αλλά σε περιπτώσεις με πολύπλοκη δρομολόγηση μέσω τρίτων — όπως υπηρεσίες spam filtering, αρχειοθέτησης ή εταιρικούς mail relays — τα συστήματα προστασίας μπορεί να μην ενεργούν σωστά, αφήνοντας σημαντικά κενά.
Ως αντίμετρο, η εταιρεία συνιστά στα τμήματα IT των επιχειρήσεων να εφαρμόσουν αυστηρή πολιτική DMARC “reject” και SPF hard-fail, να επαληθεύσουν και να επαναρυθμίσουν connectors τρίτων, και να ελέγξουν προσεκτικά κάθε σύνθετο mail flow configuration που μπορεί να ανοίγει πόρτες σε spoofed phishing emails.
Σε μια εποχή όπου οι οργανισμοί επενδύουν μαζικά σε cloud υποδομές και εργαλεία παραγωγής, η σωστή διαχείριση email security φαίνεται να αποτελεί πλέον βασική προϋπόθεση για την επιχειρησιακή ανθεκτικότητα, καθώς οι παγκόσμιες εκστρατείες phishing εξελίσσονται συνεχώς και αξιοποιούν κάθε δυνατό τεχνικό και διαχειριστικό κενό.
