נחשף קמפיין פישינג ענק שכוון לעשרות אלפי משתמשים

מיקרוסופט חשפה באחרונה פרטים על קמפיין גניבת אישורים רחב היקף. במסע הדיוג נעשה שימוש בפיתויים בנושא קוד התנהגות, בשילוב שירותי דוא"ל לגיטימיים. המטרה הייתה לכוון משתמשים להיכנס לאתרים שבשליטת התוקפים ולגנוב מהם אסימוני אימות.

הקמפיין הרב-שלבי נצפה בין 14 ל-16 באפריל השנה וכוון ליותר מ-35,000 משתמשים ביותר מ-13,000 ארגונים ב-26 מדינות. במבט הגיאוגרפי, 92% מהיעדים מוקמו בארה"ב.

רוב המיילים של הפישינג הופנו נגד ארגונים מגזרי הבריאות ומדעי החיים (19%), ולאחריהם: ארגוני שירותים פיננסיים (18%), ארגוני שירותים מקצועיים (11%) וחברות טק ותוכנה (11%).

את מסע הדיוג חשפו שני צוותים, מחקר האבטחה של Microsoft Defender ומחקר האיומים של הענקית מרדמונד (Microsoft Threat Intelligence). 

"בקמפיין ההאקרים השתמשו בתבניות HTML שעוצבו בסגנון ארגוני, עם פריסות מובנות והצהרות אותנטיות מוקדמות, מה שגרם להן להיראות אמינות יותר ממיילים טיפוסיים של פישינג והגביר את הסבירות שלהם כתקשורת פנימית לגיטימית", כתבו החוקרים. "כיוון שההודעות כללו האשמות והנחיות חוזרות לפעול לפי זמן, הקמפיין יצר תחושת דחיפות ולחץ לפעולה".

Phishing campaigns continue to improve refinement in blending social engineering, delivery and hosting infrastructure, and authentication abuse to remain effective against evolving security controls. https://t.co/VrJyloTAsI

Microsoft Defender Research observed a large-scale…

— Microsoft Threat Intelligence (@MsftSecIntel) May 4, 2026

המיילים הגיעו משירות דוא"ל לגיטימי

הודעות הדוא"ל בקמפיין כללו פיתויים הקשורים לסקירות קוד ההתנהגות, תוך שימוש בשמות תצוגה כמו "COC רגולטורי פנימי", "תקשורת כוח אדם", ו"דו"ח התנהגות צוות". שורות הנושא הקשורות למיילים אלו כוללות "יומן תיק פנימי שהונפק לפי מדיניות התנהגות" ו"תזכורת: המעסיק פתח יומן תיק אי-ציות".

"בראש כל מייל הופיעה הודעה לפיה היא 'הגיעה דרך ערוץ פנימי מורשה' ושהקישורים והקבצים המצורפים 'נבדקו ואושרו לגישה מאובטחת', מה שחיזק את הלגיטימיות המיוחסת של המייל", הסבירו חוקרי מיקרוסופט.

המיילים נשלחו משירות משלוח מייל לגיטימי, וההודעות הגיעו עם קובץ PDF שלכאורה סיפק מידע נוסף על סקירת ההתנהגות. אז התבקשו הקורבנות ללחוץ על קישור במסמך, כדי לאפשר להאקרים לקצור את האישורים. המשתמשים הונחו לעבור דרך סבבים רבים של אישורים ודפי ביניים – אלה נועדו להעניק לתוכנית מראה של לגיטימיות, ובמקביל למנוע הגנות אוטומטיות.

בסופו של דבר, ההאקרים ניצלו טקטיקות פישינג של "יריב באמצע" (AiTM), כדי לאסוף את פרטי האישור והטוקנים של מיקרוסופט בזמן אמת, מה שאיפשר לשחקני האיום לעקוף אימות רב-שלבי (MFA).

Originally from MS Threat Intel: Email threat landscape: Q1 2026 trends and insights https://t.co/Mmu8sYseEo ( :-{ı▓ #CTI #cybersecurity #cyberresearch pic.twitter.com/LO12dEpiBe

— Cyber Research (@Cyb3rR3s34rch) May 1, 2026

מגמות חדשות בפישינג: קודי QR ופלטפורמות PhaaS

מומחי אבטחה ציינו כי ניתוח של מיקרוסופט את נוף איומי הדוא"ל בין ינואר למרץ השנה חשף כי פישינג על קוד QR הפך לווקטור התקיפה הצומח ביותר במהירות. בסך הכול, הענקית מרדמונד זיהתה כ-8.3 מיליארד איומי פישינג מבוססי דואר אלקטרוני. מתוכם, כמעט 80% היו מבוססי קישורים, כאשר קבצי HTML ו-ZIP גדולים היוו חלק עצום מהמטענים הזדוניים שהופצו דרך מיילים של פישינג. המטרה הסופית של רוב המתקפות הללו הייתה איסוף אישורים.

חוקרי ענקית הטכנלוגיה ציינו גם כי מפעילי פלטפורמת Tycoon 2FA – המספקים פישינג-כשירות (PhaaS), ניסו לשנות פרטים בדומיינים שלהם, בעקבות מבצע שיבוש שבוצע על ידי רשויות אכיפת חוק במרץ 2026. בהודעה נכתב: "לקראת סוף מרץ, ראינו את Tycoon 2FA עוזבת את קלאודפלייר (Cloudflare) כשירות אירוח וכעת היא מארחת את רוב הדומיינים שלה בפלטפורמות חלופיות. זה מרמז שהקבוצה מנסה למצוא שירותים חלופיים שמציעים הגנות דומות נגד ניתוח".

לפי מיקרוסופט, חלה עלייה עצומה בפישינג של קוד QR במהלך שלושת החודשים, כאשר נפחי התקיפות קפצו מ-7.6 מיליון בינואר ל-18.7 מיליון במרץ. הנתון מייצג עלייה של 146%. התפתחות בולטת שנצפתה בסוף מרץ הייתה השימוש בקודי QR המוטמעים ישירות בגופי דואר אלקטרוני.

החוקרים ציינו שני קמפיינים בולטים שנצפו ברבעון הראשון של 2026: האחד, קמפיין גדול ומתמשך בין 23 ל-25 בפברואר, בו נשלחו יותר מ-1.2 מיליון הודעות למשתמשים ביותר מ-53,000 ארגונים ב-23 מדינות, תוך שימוש בפיתויים בנושא 401(k), תשלום וחשבוניות כדי לשרת קובץ SVG מצורף. פתיחת הקובץ הפנתה את הקורבנות לאתר עם דף כניסה מזויף. השני היה קמפיין גדול נוסף שאירע ב-17 במרץ. הוא כלל יותר מ-1.5 מיליון הודעות זדוניות מאומתות שנשלחו ליותר מ-179,000 ארגונים ב-43 מדינות. הפעילות היוותה 7% מכלל קבצי ה-HTML הזדוניים שנצפו בחודש. כאשר נפתח, קובץ ה-HTML הפנה את הקורבנות לדף פישינג ראשוני שסינן את המבקר לפני שהוביל אותו ליעד הסופי: דף כניסה מזויף.

"למרות שהודעות בקמפיין הזה חלקו כלים, מבנה ומאפייני משלוח משותפים, התשתית שאירחה את מטען הפישינג הסופי הייתה מקושרת לכמה ספקי PhaaS שונים", סיכמו חוקרי מיקרוסופט. "רוב נקודות הקצה של פישינג שנצפו היו קשורות ל-Tycoon 2FA, בעוד שפעילות נוספת נקשרה לתשתית Kratos (לשעבר Sneaky 2FA) ו-EvilTokens. התוקפים נמנעים מהמאמץ לבנות דומיינים ותשתיות דואר מפוקפקות מאפס. במקום זאת, הם משתלטים על מפתחות גישה קיימים כדי לקבל את היכולת לפוצץ אלפי מיילים של פישינג".