Kiberbűnözők a Microsoft jelszómentes hitelesítési törekvéseit fordítják a felhasználók ellen: hamis IT-támogatási hívásokkal arra veszik rá az alkalmazottakat, hogy támadói irányítás alatt álló passkeyt regisztráljanak saját Microsoft 365-fiókjukhoz.
Az Okta kutatói a kampányt az O-UNC-066 néven követett fenyegetési klaszterhez kapcsolják, amelyet a Palo Alto Networks Unit 42 Pink néven azonosít. A támadássorozat legalább 2026 áprilisa óta aktív, és több iparág szervezeteit célozta, köztük egészségügyi, technológiai, autóipari, építőipari, légiközlekedési és élelmiszeripari vállalatokat.
Nem jelszót lopnak, hanem saját passkeyt regisztrálnak
A hagyományos phishingkampányok általában felhasználónevek, jelszavak vagy egyszer használatos hitelesítési kódok megszerzésére törekednek.
Ebben az esetben azonban a támadók a Microsoft Entra legitim passkey-regisztrációs folyamatát használják fel.
A cél az, hogy az áldozat saját maga engedélyezzen egy olyan phishingrezisztens hitelesítési módszert, amelyet valójában a támadó birtokol.
Ez különösen veszélyes, mert egy sikeresen regisztrált támadói passkey a jelszó későbbi módosítása után is használható maradhat.
A Microsoft biztonsági funkcióját fordítják a felhasználók ellen
A Microsoft az elmúlt időszakban felgyorsította a passkeyk vállalati bevezetését a jelszómentes hitelesítési stratégia részeként.
A Microsoft Entra regisztrációs kampányai lehetővé teszik, hogy a rendszergazdák a sikeres bejelentkezés és többtényezős hitelesítés után passkey vagy Microsoft Authenticator regisztrálására ösztönözzék a felhasználókat.
A rendszergazdák beállíthatják:
- mely felhasználók vagy csoportok kapjanak felszólítást;
- milyen gyakran jelenjen meg az emlékeztető;
- meddig halasztható a regisztráció;
- kötelezővé váljon-e később a hitelesítési módszer beállítása.
A támadók arra építenek, hogy a felhasználók egyre gyakrabban találkoznak valódi passkey-regisztrációs értesítésekkel, ezért kevésbé gyanakodnak egy hasonló kérésre.
Hamis helpdesk-hívással kezdődik a támadás
A kampány vishinggel, vagyis hangalapú adathalászattal indul.
Az alkalmazottakat olyan személyek hívják fel, akik belső IT-támogatási munkatársnak vagy biztonsági adminisztrátornak adják ki magukat.
A hívók azt állítják, hogy:
- új Microsoft Entra biztonsági előírás lépett életbe;
- sürgősen frissíteni kell a hitelesítési beállításokat;
- kötelező új passkeyt regisztrálni;
- a folyamatot azonnal végre kell hajtani.
Az áldozatokat olyan phishingoldalakra irányítják, amelyek domainnevében gyakran szerepel a „passkey” szó, és amelyek Microsoft-logókat, vállalati arculati elemeket, valamint Entra-bejelentkezési oldalakat utánzó felületeket használnak.
Valós időben irányított phishingrendszer
A támadók nem hagyományos, teljesen automatizált adversary-in-the-middle proxyt használnak.
Az Okta szerint egy egyedi, PHP-alapú vezérlőpanellel dolgoznak, amelyen keresztül az operátor valós időben irányíthatja az áldozat hitelesítési folyamatát.
A rendszer másodpercenként frissíti az adatokat a phishingfelület és a támadó között.
Ez lehetővé teszi, hogy a támadó alkalmazkodjon ahhoz, milyen MFA-módszert használ a felhasználó, például:
- Microsoft Authenticator push értesítést;
- számillesztéses jóváhagyást;
- TOTP-kódot;
- SMS-ben kapott hitelesítési kódot.
A támadó a folyamat minden lépését figyelheti, és az aktuális hitelesítési kihíváshoz igazíthatja a hamis oldalt.
A valódi cél a támadó saját hitelesítőjének hozzáadása
Miután a támadó sikeresen végigvezeti az áldozatot a bejelentkezésen, megkezdődik a legveszélyesebb szakasz.
A felhasználó azt hiszi, hogy a saját passkeyét regisztrálja.
A háttérben azonban egy támadó által birtokolt eszközön tárolt passkey kerül hozzáadásra a Microsoft Entra-fiókhoz.
Ezzel a támadó tartós hitelesítési lehetőséget szerezhet anélkül, hogy később szüksége lenne az áldozat jelszavára vagy MFA-kódjára.
A jelszó-visszaállítás önmagában nem feltétlenül elég
Az incidenskezelést jelentősen megnehezíti, hogy a jelszó módosítása nem feltétlenül szünteti meg a támadó hozzáférését.
Ha a rosszindulatúan regisztrált passkey továbbra is aktív marad, a támadó újból bejelentkezhet.
Ezért kompromittált Microsoft 365-fióknál nem elegendő kizárólag:
- jelszót cserélni;
- munkameneteket megszakítani;
- MFA-t újraindítani.
Ellenőrizni és szükség esetén törölni kell az összes újonnan hozzáadott hitelesítési módszert is.
Hamis helyreállítási kifejezéssel teszik hitelesebbé a csalást
Az Okta egy szokatlan elemet is azonosított a folyamatban.
A passkey regisztrációja után az áldozatok Microsoft-arculatú oldalt látnak, amely egy kriptotárcák seed phrase-éhez hasonló helyreállítási kifejezés feljegyzésére kéri őket.
A rendszer ezután arra kéri a felhasználót, hogy a kifejezés bizonyos szavait ellenőrzésként újra adja meg.
A Microsoft Entra valódi passkey-regisztrációja azonban nem használ BIP-39 szabványú recovery phrase-t.
A hamis helyreállítási folyamat célja valószínűleg az, hogy technikailag fejlettnek és hitelesnek tüntesse fel a támadást, miközben eltereli a figyelmet a rosszindulatú hitelesítő regisztrációjáról.
A Pink csoport vállalati adatlopásra fókuszál
A Pink nevű fenyegetési szereplőt a kutatók a The Com néven ismert decentralizált kiberbűnözői közösséghez kapcsolják.
E csoport tagjai gyakran foglalkoznak:
- social engineeringgel;
- SIM-swappinggel;
- hitelesítőadat-lopással;
- vállalati rendszerek kompromittálásával;
- pénzügyi célú adatlopással.
A Pink a megszerzett Microsoft 365-hozzáféréssel gyakran az alábbi szolgáltatásokat célozza:
- Microsoft SharePoint;
- Microsoft OneDrive;
- vállalati dokumentumtárak;
- belső együttműködési rendszerek.
A megszerzett adatokat később zsarolási célra használhatják fel.
A passkey technológia továbbra is biztonságos
A kampány nem a passkeyk kriptográfiai gyengeségét használja ki.
A passkey továbbra is az egyik legerősebb hitelesítési megoldás, mert:
- nem használ újrahasznosítható jelszót;
- nyilvános kulcsú kriptográfiára épül;
- ellenáll a hagyományos credential phishingnek;
- csökkenti a password spraying és credential stuffing kockázatát.
A támadás azért működik, mert az áldozatot ráveszik arra, hogy önként hagyjon jóvá egy támadói hitelesítési módszert.
A probléma tehát nem a passkey protokollban, hanem a regisztrációs folyamat körüli social engineeringben rejlik.
Hogyan védekezhetnek a szervezetek?
A szervezeteknek szigorú ellenőrzési eljárásokat kell kialakítaniuk minden olyan helpdesk-megkeresésre, amely hitelesítési módszer módosítását vagy passkey-regisztrációt kér.
Javasolt intézkedések:
- Microsoft Entra auditnaplók folyamatos figyelése;
- riasztás új passkey vagy hitelesítési módszer regisztrációjakor;
- privilegizált fiókok hitelesítési módosításainak külön felügyelete;
- földrajzi vagy hálózati alapú feltételes hozzáférési szabályok;
- passkey-regisztráció kizárólag menedzselt eszközökről;
- segítségkérő hívások visszaellenőrzése hivatalos belső csatornán;
- felhasználók oktatása a hamis recovery phrase felismerésére;
- ismeretlen passkeyk és hitelesítési módszerek rendszeres felülvizsgálata.
Mit kell tudniuk a felhasználóknak?
A felhasználókat egyértelműen tájékoztatni kell arról, hogy:
- az IT-részleg nem kérhet passkey-regisztrációt kéretlen telefonhívásban;
- egy hitelesítési módosítást mindig külön, hivatalos csatornán kell ellenőrizni;
- a Microsoft Entra passkey-regisztráció nem használ kriptotárcákhoz hasonló helyreállítási szósort;
- gyanús kérés esetén a folyamatot azonnal meg kell szakítani;
- ismeretlen hitelesítési módszer megjelenését haladéktalanul jelenteni kell.
Az identitás vált az új fő támadási felületté
A kampány jól mutatja, hogy a támadók egyre gyakrabban kerülik meg a hagyományos malware-alapú megközelítést.
A cél már nem feltétlenül egy jelszó ellopása vagy egy kártékony program telepítése.
Ehelyett a támadók közvetlenül a szervezet megbízható identitási infrastruktúrájába próbálnak saját hitelesítési módszert beilleszteni.
Ez tartós, nehezen felismerhető és a klasszikus jelszó-visszaállításokkal szemben ellenálló hozzáférést biztosíthat.
Összegzés
Az O-UNC-066, illetve Pink néven követett csoport a Microsoft Entra passkey-regisztrációs folyamatát használja fel kifinomult vishing támadásokban.
A támadók nem törik fel a passkey technológiát. Ehelyett hamis IT-támogatási hívásokkal ráveszik az alkalmazottakat, hogy saját Microsoft 365-fiókjukhoz támadó által irányított passkeyt regisztráljanak.
A védekezés kulcsa a hitelesítési módszerek folyamatos monitorozása, a helpdesk-folyamatok szigorú ellenőrzése, a least privilege elv alkalmazása, valamint a felhasználók célzott oktatása.





