Angriperne vil ha kontroll over dine Microsoft 365-kontoer.
Sikkert.no publiserte 21. mai et felles varsel om at phishingverktøyene som brukes mot norske virksomheter er i stadig utvikling, og at forbedringene fører til flere vellykkede angrep. Angrepene retter seg særlig mot Microsoft 365 og bruker phishingmetoder som fanger opp passord og påloggingssesjon, slik at angriperne får tilgang selv om tofaktorautentisering er aktivert. Når en konto kompromitteres, får angriperne tilgang til e-post, dokumenter i SharePoint, Teams-møter og annen virksomhetsinformasjon. Varselet beskriver fire teknikker: brukere lures til å skrive engangskoder på legitime innloggingssider, proxy-tjenester maskerer trafikk via IP-adresser som ligner virksomhetens normale mønster, KI brukes til å lage troverdige meldinger på norsk, og angrep spres fra allerede kompromitterte kontoer i form av møteinvitasjoner og delte dokumenter. Hendelsene oppdages ofte først når virksomheten varsles av sitt eget responsmiljø.
Tradisjonell phishingopplæring som lærer ansatte å se etter mistenkelige lenker, er ikke lenger tilstrekkelig. Sikkerhetsansvarlige bør prioritere fire grep: innføre phishingresistent autentisering som FIDO2-passnøkler for økonomiansvarlige, ledere og systemadministratorer først, deaktivere eller kraftig begrense device code-innlogging, begrense pålogging til kjente enheter eller IP-adresser der det er praktisk mulig, og verifisere at responsmiljøet faktisk fanger opp anomale påloggingsmønstre i M365-loggene.
FBI publiserte 21. mai en Public Service Announcement (PSA) om Kali365, en Phishing-as-a-Service-plattform først observert i april 2026 og distribuert via Telegram. Plattformen utnytter Microsofts legitime OAuth device code-flyt: en phishing-epost utgir seg for å være fra en kjent skytjeneste og inneholder en enhetskode med instruksjoner om å besøke en legitim Microsoft-verifiseringsside. Når brukeren skriver inn koden, autoriserer hen ubevisst angriperens enhet. Angriperen får OAuth-tokens som gir vedvarende tilgang til e-post, OneDrive og Teams uten å fange opp brukerens passord. Arctic Wolf og Proofpoint har dokumentert hundrevis av angrep i april alene mot produksjon, utdanning, offentlig sektor, finans og helse på tvers av Nord-Amerika og Europa. Alle ofrene brukte MFA. FBI og CISA anbefaler å deaktivere eller kraftig begrense device code-autentisering, innføre conditional access-policyer som blokkerer uautorisert device code-bruk, og revidere eksisterende device-autentisering for legitime bruksområder.
Kali365 forklarer mekanikken bak den brede norske angrepsbølgen vi omtaler i saken over. Sikkerhetsansvarlige bør gjennomgå Entra ID-tenanten umiddelbart og sjekke om device code-flyt er aktivert. I de fleste virksomheter brukes denne flyten kun for IoT-enheter og smart-TV-er, og kan trygt deaktiveres eller begrenses via conditional access. Sjekk sign-in-loggene de siste 60 dagene for device code-autentisering og uventede tokenrefresh fra ukjente IP-adresser eller geografiske områder.
KONTOR
Slemdalsveien 70
B0370 Oslo
Hold deg oppdatert
© 2025 Tangelo. Alle rettigheter reservert.
Design & Utvikling av M51 Marketing
