Microsoft đang cảnh báo về một vụ lừa đảo đang diễn ra nhằm chuyển các khoản thanh toán tiền lương của nhân viên’ sang các tài khoản do kẻ tấn công kiểm soát sau lần đầu tiên tiếp quản hồ sơ của họ trên Workday hoặc các dịch vụ nhân sự dựa trên đám mây khác.
Cướp biển tính lương, như Microsoft cho biết chiến dịch này đã được lồng tiếng, có quyền truy cập vào cổng thông tin nhân sự của victims’ bằng cách gửi cho họ các email lừa đảo lừa người nhận cung cấp thông tin xác thực của họ để đăng nhập vào tài khoản đám mây. Những kẻ lừa đảo có thể khôi phục mã xác thực đa yếu tố bằng cách sử dụng đối thủ ở giữa chiến thuật, hoạt động bằng cách ngồi giữa các nạn nhân và trang web mà họ nghĩ rằng họ đang đăng nhập, trên thực tế, đó là một trang web giả mạo được điều hành bởi những kẻ tấn công.
Không phải tất cả MFA đều được tạo ra như nhau
Sau đó, những kẻ tấn công nhập thông tin xác thực bị chặn, bao gồm cả mã MFA, vào trang web thực. Chiến thuật này, ngày càng trở nên phổ biến trong những năm gần đây, nhấn mạnh tầm quan trọng của việc áp dụng các hình thức MFA tuân thủ FIDO, miễn nhiễm với các cuộc tấn công như vậy.
Khi vào tài khoản employees’, những kẻ lừa đảo sẽ thay đổi cấu hình bảng lương trong Ngày làm việc. Những thay đổi này khiến các khoản thanh toán tiền gửi trực tiếp bị chuyển hướng khỏi các tài khoản do nhân viên chọn ban đầu và thay vào đó chuyển sang tài khoản do kẻ tấn công kiểm soát. Để chặn tin nhắn Workday tự động gửi cho người dùng khi chi tiết tài khoản đó đã được thay đổi, những kẻ tấn công tạo ra các quy tắc email giữ cho các tin nhắn không xuất hiện trong hộp thư đến.
“Tác nhân đe dọa đã sử dụng các email lừa đảo thực tế, nhắm mục tiêu vào tài khoản tại nhiều trường đại học, để thu thập thông tin xác thực,” Microsoft nói rằng trong một bài viết thứ năm. “Kể từ tháng 3 năm 2025, chúng tôi đã quan sát thấy 11 tài khoản bị xâm phạm thành công tại ba trường đại học được sử dụng để gửi email lừa đảo tới gần 6.000 tài khoản email trên 25 trường đại học.”
.jpg)