Știri
Știri din categoria Securitate cibernetică

FBI avertizează că o nouă platformă „phishing ca serviciu” poate compromite conturi Microsoft 365 fără furt de parole sau coduri MFA, prin abuzarea unui mecanism legitim de autentificare, potrivit WinFuture. Miza pentru companii este una operațională: atacatorii pot obține acces la e-mail și pot persista în mediu fără să „spargă” efectiv contul în sensul clasic.
Platforma, numită Kali365, folosește așa-numitul „device-code phishing”, o tehnică ce exploatează procesul OAuth de autentificare oferit de Microsoft pentru dispozitive cu posibilități limitate de introducere a datelor (de exemplu smart TV-uri, imprimante, sisteme de conferință). În mod normal, utilizatorul introduce un cod scurt pe o pagină oficială de autentificare, de pe un alt dispozitiv (PC sau telefon).
În scenariul abuziv descris, atacatorii inițiază ei înșiși procesul de autentificare, generează un cod valid și își conving victima (prin mesaje de tip phishing sau inginerie socială) să introducă acel cod pe pagina oficială Microsoft. După ce victima finalizează autentificarea, inclusiv pașii de autentificare multifactor (MFA), atacatorul primește un „token” (jeton) de acces valid, care îi permite intrarea în cont fără verificări suplimentare imediate.
Conform informațiilor prezentate, Kali365 ar fi apărut în aprilie și este distribuită prin canale de Telegram. Oferta ar viza inclusiv atacatori cu cunoștințe tehnice reduse, punând la dispoziție instrumente „la cheie”, precum:
Cercetători de securitate de la Arctic Wolf au raportat că au observat încă din aprilie o campanie de amploare bazată pe această metodă, care a vizat organizații la nivel global. Potrivit descrierii, atacatorii au obținut acces la căsuțe de e-mail, au creat reguli de inbox manipulate și, în unele cazuri, au înregistrat dispozitive noi în mediile Microsoft ale victimelor pentru a-și menține accesul pe termen mai lung.
În alerta publicată de IC3 (Internet Crime Complaint Center) al FBI, instituția recomandă organizațiilor să restricționeze sau să blocheze, acolo unde este posibil, autentificările prin „device code”, să revizuiască periodic utilizările existente și să investigheze evenimentele de autentificare suspecte.
WinFuture notează că metoda se răspândește, iar alte platforme, precum EvilTokens și Tycoon2FA, ar folosi deja aceeași abordare pentru compromiterea conturilor Microsoft 365 și Entra. Pentru companii, mesajul practic este că o parte din riscul de phishing se mută de la „furtul de credențiale” la „abuzul de fluxuri legitime”, ceea ce cere controale mai stricte pe tipurile de autentificare permise și pe monitorizarea semnalelor de acces.
Recomandate

O campanie de phishing care urmărește preluarea conturilor de mesagerie criptată vizează oficiali guvernamentali, personal militar, jurnaliști și persoane cu acces la informații sensibile, prin mesaje trimise pe Signal, WhatsApp și Telegram, potrivit Știrile Pro TV . Miza operațională este directă: atacatorii încearcă să obțină „cheia de recuperare” a contului (Recovery Key), ceea ce le poate permite accesul la conversații și la identitatea digitală a țintei. Avertismentul a fost transmis de Directoratul Național pentru Securitate Cibernetică (DNSC) , care citează o alertă emisă de FBI și Cybersecurity and Infrastructure Security Agency (CISA) la 26 iunie 2026. Activitatea este atribuită unor grupuri asociate serviciilor de informații ruse (FSB și structuri militare), urmărite public sub denumirile UNC5792 și UNC4221. Cum funcționează atacul: „suport tehnic” fals și cerere de Recovery Key Conform DNSC, atacatorii trimit mesaje care par a veni de la „suportul tehnic” al aplicației și invocă probleme de securitate sau de sincronizare. Victima este apoi îndrumată să activeze funcția de backup a contului și să trimită direct cheia de recuperare, sub pretextul „confirmării” sau „restaurării” contului. Ce recomandă DNSC utilizatorilor vizați DNSC subliniază că serviciile reale de suport ale aplicațiilor de mesagerie nu cer niciodată, în chatul din aplicație, coduri de verificare, PIN-uri sau chei de backup, ci comunică doar prin canale oficiale (e-mail, nu mesaje în aplicație). Recomandările pentru cei care primesc un mesaj suspect includ: să nu introducă și să nu trimită nimănui cheia de recuperare; dacă cheia a fost totuși transmisă, să fie regenerată imediat din „Settings” și „Backup” (DNSC precizează că cheia veche rămâne validă la infinit, inclusiv pe un cont nou creat cu același număr); raportarea mesajului și blocarea expeditorului; verificarea autenticității printr-un canal oficial, nu prin linkuri primite în chat. [...]

O campanie de phishing care vizează utilizatorii WhatsApp, Telegram și Signal poate duce la preluarea contului dacă victima ajunge să transmită „cheia de recuperare” (backup) cerută prin mesaje ce se dau drept suport tehnic, potrivit Antena 3 , care citează o alertă transmisă de Directoratul Național de Securitate Cibernetică (DNSC) pe baza unei semnalări FBI și CISA . Atacul a fost identificat pe 26 iunie 2026 și folosește mesaje care pretind că anunță probleme de securitate sau de sincronizare a contului. În scenariul descris de autorități, utilizatorul este îndrumat să activeze funcția de backup, apoi să trimită cheia de recuperare, sub pretextul „confirmării identității” sau al restaurării contului. De ce contează: cheia de recuperare poate rămâne valabilă „pe termen nelimitat” DNSC avertizează că serviciile oficiale de suport ale aplicațiilor de mesagerie nu cer niciodată coduri de verificare, PIN-uri sau chei de backup și nu trimit linkuri de verificare/restaurare prin mesaje în aplicație, comunicarea oficială fiind realizată doar prin canale verificate, precum e-mailul. Un element operațional important din avertisment este că, odată divulgată, cheia veche „rămâne validă pe termen nelimitat”, inclusiv pentru conturi nou create cu același număr de telefon. Cu alte cuvinte, compromiterea nu se oprește automat și poate necesita acțiune imediată din partea utilizatorului. Cine este vizat, potrivit avertismentului Conform informării citate, țintele principale ale campaniei sunt: oficiali guvernamentali; personal militar; jurnaliști; persoane cu acces la informații sensibile. Activitatea este atribuită unor grupuri asociate serviciilor de informații ruse, urmărite sub denumirile UNC5792 și UNC4221, mai arată avertismentul. Ce recomandă DNSC utilizatorilor Autoritățile recomandă: să nu fie introdusă și să nu fie transmisă nimănui cheia de recuperare; dacă cheia a fost deja divulgată, să fie regenerată imediat din setările aplicației; să fie raportat și blocat expeditorul mesajelor suspecte; să fie verificată autenticitatea informațiilor doar prin canale oficiale și să fie evitat accesul pe linkuri primite în conversații. DNSC subliniază că vigilența utilizatorilor rămâne esențială, deoarece astfel de atacuri de tip phishing exploatează încrederea în platformele de comunicare criptată. [...]

Un val de atacuri de tip „ password spraying ” a generat peste 81 de milioane de încercări de autentificare în medii Microsoft 365 în doar două săptămâni , iar o parte dintre compromiteri au fost posibile prin politici de acces condiționat configurate astfel încât să nu acopere un flux de autentificare care poate ocoli autentificarea cu mai mulți factori (MFA), potrivit Bleeping Computer . Atacatorul a încercat să se autentifice prin interfața de linie de comandă Azure ( Azure CLI ), folosind combinații încă valide de utilizator și parolă expuse în breșe mai vechi. Azure CLI este folosită de administratori pentru gestionarea resurselor din cloud (mașini virtuale, aplicații, baze de date și automatizări). Odată găsite credențiale valide, autentificarea a fost realizată prin mecanismul OAuth numit ROPC (Resource Owner Password Credentials). Conform analizei, acest flux poate ocoli MFA în multe organizații atunci când politicile de „Conditional Access” (acces condiționat) sunt incomplete sau aplicate greșit. Ce impact operațional au observat cercetătorii Compania de securitate administrată Huntress spune că a urmărit campania între 12 și 26 iunie și a confirmat compromiterea a 78 de conturi Microsoft din 64 de organizații. În același timp, Huntress a raportat o creștere de peste 155 de ori a atacurilor de tip password spraying, organizațiile ajungând să înregistreze, în medie, 1.964 de încercări eșuate de autentificare pe „tenant” (instanță/organizație Microsoft 365) în fiecare lună. Unde au cedat politicile de securitate Huntress afirmă că multe dintre companiile compromise aveau MFA implementat prin politici de acces condiționat, însă MFA nu era configurat să acopere fluxul folosit de atacatori. Publicația citează explicația Huntress privind limitările ROPC: „ROPC este considerat problematic din mai multe motive, dar unul dintre ele este că nu oferă suport pentru fluxuri moderne de autentificare precum MFA sau SSO.” „Asta înseamnă că, așa cum am văzut în această campanie, ROPC trimite parola direct către endpoint-ul /token, fără o solicitare interactivă de MFA.” Printre configurările greșite menționate se numără: MFA aplicat doar unor aplicații specifice, nu pentru „All Cloud Apps”; MFA impus doar pentru anumite grupuri de utilizatori (de exemplu, administratori); MFA cerut doar din locații „neîncrezătoare”, permițând trafic din IP-uri care par din locații de încredere; politici setate în modul „report-only” (doar raportare), fără aplicare efectivă. În unele cazuri, cercetătorii spun că nu exista deloc o politică MFA. Cine ar fi în spatele campaniei Nu este clar cine a derulat atacurile. Huntress notează însă că activitatea ar proveni dintr-un interval IPv6 deținut de LSHIY LLC (AS32167). Cercetătorii au transmis constatările către LSHIY prin portalul de raportare a abuzurilor, dar nu primiseră un răspuns la momentul publicării raportului. [...]

FBI avertizează că o campanie de phishing care vizează conturi Signal poate duce la preluarea completă a contului dacă utilizatorii divulgă „ Backup Recovery Key ” , potrivit TechRadar . Miza operațională este directă: odată obținută această cheie, atacatorii pot accesa istoricul mesajelor și conversațiile private și de grup, inclusiv în contexte sensibile (guvernamental, militar, jurnalistic). Avertizarea apare într-un comunicat comun al FBI cu CISA și Serviciul de Securitate al Ucrainei (SSU) , disponibil pe site-ul IC3: IC3 . Conform detaliilor, atacatorii se dau drept „servicii de suport Signal” și încearcă să convingă ținte de mare valoare să activeze backup-ul mesajelor, folosind instrucțiuni false care, în realitate, trimit „Backup Recovery Key” către atacatori. De ce contează pentru organizații: compromitere cu efect în lanț pe același număr Cheia „Backup Recovery Key” (o cheie unică folosită pentru recuperarea/backup-ul mesajelor) este prezentată ca elementul critic al atacului. Dacă victima o transmite, atacatorul poate: să preia controlul asupra contului Signal curent; să acceseze istoricul mesajelor, inclusiv mesaje private și de grup; să compromită și conturi ulterioare create cu același număr de telefon, dacă se bazează pe aceeași logică de recuperare. În practică, asta transformă un simplu mesaj de tip „suport” într-un risc major de scurgere de informații și întrerupere a comunicațiilor, mai ales pentru persoane cu roluri sensibile. Cum arată „momeala”: urgență și pretexte de securitate Conform exemplelor descrise, mesajele încearcă să creeze încredere și presiune prin pretexte precum protecția împotriva unor tentative recente de hacking („Iran și țări post-sovietice”) sau prin avertismente că datele contului ar fi „în risc de pierdere permanentă” din cauza unei probleme de sincronizare. Țintele menționate includ oficiali guvernamentali și militari, politicieni, jurnaliști și alți oficiali din SUA și Europa aflați în Ucraina, iar campania este atribuită Serviciului Federal de Securitate al Rusiei (FSB), conform avertizării. Măsuri recomandate: ce să verifice utilizatorii și ce să schimbe dacă suspectează compromiterea Pentru cei care se tem că „Backup Recovery Key” ar fi fost expus, recomandarea este regenerarea cheii din setările Signal, ceea ce invalidează cheile anterioare și reduce riscul de preluare a contului pe baza unei chei scurse. Pentru prevenție, recomandările din avertizare vizează în principal recunoașterea tentativelor de phishing și întărirea autentificării: serviciile de suport comunică, în general, de pe o adresă oficială de e-mail; verificați atent expeditorul; suportul nu va cere „Backup Recovery Key” prin aplicație; nu ar trebui să existe solicitări de „verificare” sau „restaurare” a contului prin mesaje automate de suport; folosiți „passkey” (chei de acces bazate pe biometrie/funcțiile dispozitivului) unde este posibil; activați autentificare multifactor rezistentă la phishing, acolo unde există opțiunea; nu furnizați „Backup Recovery Key” decât dacă recuperați activ accesul printr-un canal legitim. [...]

Criptarea „post-cuantică” începe să fie tratată ca cerință de proiectare a cipurilor , nu doar ca actualizare de software, pe fondul riscului ca viitoare computere cuantice să poată sparge metodele de criptare folosite astăzi, arată o analiză Interesting Engineering . Miza operațională pentru industrie este integrarea acestor algoritmi direct în hardware-ul care stă la baza serverelor, telefoanelor și infrastructurii critice, într-un context în care „matematica” nu este suficientă fără implementare eficientă în semiconductori. În centrul schimbării este dificultatea practică: algoritmii de criptare rezistenți la atacuri cuantice (post-quantum cryptography – o familie de metode concepute să rămână sigure și în fața calculului cuantic) tind să ceară mai multe resurse de calcul și energie și trebuie adaptați la constrângerile reale ale dispozitivelor. Asta împinge producătorii de cipuri să trateze securitatea „post-cuantică” ca pe o funcție reutilizabilă, standardizată și certificabilă, construită în componente. De la algoritmi la „blocuri” hardware reutilizabile Un exemplu prezentat este parteneriatul dintre compania elvețiană de securitate SEALSQ și producătorul american de semiconductori GlobalFoundries (GF), care au semnat un memorandum de înțelegere (MoU) pentru dezvoltarea de tehnologii de securitate post-cuantică și platforme semiconductoare sigure, potrivit comunicatului citat de publicație: GlobeNewswire . Direcția este să apară componente „gata de integrat” în viitoare procesoare, inclusiv module de securitate certificate care să ruleze criptografie post-cuantică direct în hardware, nu doar în software. În proiect este implicată și MIPS, companie de proiectare de cipuri, subsidiară a GlobalFoundries, conform aceleiași surse. Chiplet-uri de securitate și enclave: cum se schimbă arhitectura Acordul vizează și dezvoltarea de componente de tip Chiplet Hardware Security Module (CHSM) – chiplet-uri (subcomponente semiconductoare) orientate spre securitate, care ar putea fi folosite în: Hardware Security Modules (HSM) – echipamente dedicate protejării cheilor criptografice; Secure Enclaves – zone izolate în interiorul unui dispozitiv, pentru date și operațiuni critice. În paralel, companiile vor să exploreze arhitecturi „secure chiplet”, adică integrarea funcțiilor de securitate ca parte a modului în care sunt combinate aceste subcomponente pentru a construi sisteme mai mari. Componenta „rece” a problemei: cipuri pentru temperaturi criogenice Parteneriatul nu se limitează la apărarea împotriva viitoarelor atacuri cuantice. Include și dezvoltarea de circuite integrate dedicate aplicațiilor criogenice (ASIC-uri), capabile să funcționeze la temperaturi extrem de scăzute, necesare multor procesoare cuantice (care operează la fracțiuni de grad peste zero absolut, potrivit articolului). GlobalFoundries ar urma să se bazeze pe divizia sa Quantum Technology Solutions, iar SEALSQ pe ambițiile sale în proiectarea de ASIC-uri pentru zona cuantică, conform informațiilor prezentate. De ce contează pentru industrie: securitatea devine parte din fabricație și lanțul de aprovizionare Analiza subliniază că discuția despre „amenințarea cuantică” se mută din zona de software în zona de proiectare și producție de semiconductori, unde contează scalabilitatea, costurile și certificarea. În acest context, companiile leagă inițiativa și de preocupările guvernelor privind lanțurile „suverane” de aprovizionare din Europa și SUA, pe măsură ce semiconductorii devin tot mai importanți pentru securitatea economică și națională. Ce urmează: multă proiectare, testare și validare Publicația notează că acordul este unul strategic, nu o lansare de produs, iar o parte semnificativă a muncii rămâne în fazele de proiectare, testare și validare. În plus, computerele cuantice capabile să spargă criptarea modernă „nu au sosit încă”, iar tehnologiile necesare pentru sisteme cuantice la scară mare sunt încă în dezvoltare. În termeni operaționali, următorii pași țin de evaluarea modulelor de securitate propuse și a cipurilor criogenice care ar putea susține viitoarea infrastructură cuantică. [...]

Procesul Apple–OpenAI scoate în față o vulnerabilitate de tip „zero-day” și riscurile de acces post-plecare : potrivit TechCrunch , Apple susține că un fost angajat ar fi exploatat un bug „rar”, necunoscut anterior, pentru a descărca fișiere confidențiale din rețeaua companiei la câteva săptămâni după ce plecase la OpenAI. Apple afirmă, în plângerea depusă în instanță, că fostul angajat — un inginer de sisteme electrice numit Chang Liu — ar fi folosit o problemă de autentificare (defect în procesul de conectare) care i-ar fi permis acces la foldere de rețea partajate. Compania clasifică problema drept o vulnerabilitate „zero-day”, adică o breșă pentru care nu exista încă un remediu la momentul exploatării, deoarece era necunoscută. Ce spune Apple că s-a întâmplat Conform documentelor citate, Apple susține că Liu ar fi „sifonat” volume mari de fișiere sensibile din depozite interne de fișiere, după ce nu mai era angajat. Compania spune că între timp a remediat bugul și i-a închis accesul imediat ce a aflat de „breșa de securitate”. Apple mai afirmă că verificarea jurnalelor de server ar indica faptul că, deși bugul ar fi putut permite accesul pentru „câteva alte” persoane, doar Liu l-ar fi exploatat pentru a obține informații confidențiale. În plângere, Apple susține că au fost luate „zeci” de fișiere confidențiale legate de hardware, care ar include informații despre produse nelansate, prezentări de inginerie, specificații tehnice și date proprietare de proiect. Accesul după plecare și controlul credențialelor Cazul evidențiază o problemă operațională cu impact direct asupra securității: protejarea datelor sensibile după plecarea angajaților. În practică, companiile încearcă să taie imediat accesul personalului care pleacă, tocmai pentru a reduce riscul de scurgeri de date — intenționate sau accidentale. TechCrunch notează că organizațiile care nu „dezafectează” complet conturile (adică nu revocă toate credențialele și drepturile) se expun la breșe viitoare și la acțiuni malițioase. Apple nu a oferit detalii tehnice despre bugul de autentificare și nu a răspuns întrebărilor TechCrunch despre cum a fost exploatat și când au fost dezactivate credențialele fostului angajat. Alte acuzații din plângere: laptopul și accesul unei cunoștințe Apple mai susține că Liu nu ar fi returnat laptopul de serviciu, care ar fi fost folosit anterior pentru acces la rețeaua internă. În plus, compania afirmă că Liu ar fi folosit accesul unei cunoștințe, Yu-Ting Peng (angajată Apple la acel moment, ulterior plecată la OpenAI), inclusiv folosind laptopul ei de serviciu „în timp ce ea era încă angajată la Apple și el nu”. În februarie 2026, Apple spune că Liu ar fi încercat să acceseze stocarea de rețea a companiei, descrisă ca un depozit de fișiere în cloud cu documentație de proiect și fișiere de inginerie confidențiale. Tot în plângere apare și un mesaj atribuit lui Liu către Peng: „LOL, am aflat că pot accesa [stocarea de rețea], ce amuzant.” Ce urmează în instanță Apple a depus acțiunea la Tribunalul Federal pentru Districtul de Nord al Californiei, în San Jose , și cere judecată cu juriu. OpenAI a declarat anterior că nu are „niciun interes în secretele comerciale ale altor companii”. Potrivit articolului, dacă dosarul merge mai departe, procesul ar putea începe în acest an. Pentru context, TechCrunch leagă acest episod de acțiunea mai amplă a Apple împotriva OpenAI privind presupusul furt de secrete comerciale, detaliată aici: TechCrunch . Documentul depus de Apple este disponibil și pe DocumentCloud : DocumentCloud . [...]