Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

ConsentFix и ClickFix: Како Microsoft 365 сметките се преземаат за само 3 секунди

Сè може да започне со нешто сосема вообичаено – на пример, со влечење (drag-and-drop) на линк во интернет-прелистувачот. Само три секунди подоцна, напаѓачот веќе ги поседува токените потребни за да ја преземе вашата Microsoft 365 сметка, а вие не сте направиле ништо што традиционалните обуки за подигнување на свеста за сајбер-безбедност би го означиле како ризично. Едноставно сте ги следеле инструкциите што изгледале сосема нормално.

Токму тоа е карактеристиката на современиот сајбер-криминал: тој повеќе не се обидува насилно да навлезе во системот. Наместо тоа, тивко се вметнува во секојдневниот работен процес и претвора една рутинска активност во момент кога сè тргнува наопаку.

Зошто овие напади и понатаму се успешни?

Овие напади функционираат затоа што се потпираат на навиките што сите сме ги стекнале при користење на интернет.

Секојдневно:

  • кликнуваме на CAPTCHA проверки;
  • прифаќаме известувања за колачиња (cookies);
  • притискаме различни комбинации на тастери за да продолжиме со некој процес.

Токму оваа автоматизирана реакција е она на што сметаат напаѓачите.

Тоа е основниот механизам на нападите познати како ClickFix. На жртвата ѝ се прикажува лажно известување со инструкции да притисне одредена комбинација на тастери. Со тоа, без да биде свесна, таа копира и извршува команди што ги обезбедил напаѓачот директно на сопствениот компјутер.

Во овој случај:

  • не се искористува никаква софтверска ранливост;
  • не се пробива заштитен ѕид (firewall);
  • нема сложени техники на хакирање.

Потребна е само убедлива измама, прикажана во вистинскиот момент.

Нападите од типот ClickFix доживеаја голем пораст во текот на 2025 година и сè уште активно се користат. Во меѓувреме, напаѓачите веќе ја надградија оваа техника во уште пософистицирана варијанта.

Слика 1 подолу прикажува пример на лажно известување за верификација во стилот на ClickFix.

Слика 1: Во напад од типот ClickFix, жртвата следи лажни чекори за верификација кои на крајот предизвикуваат извршување на малициозен код на нејзиниот сопствен компјутер.

Нова варијанта на напад насочена кон Microsoft 365 сесиите

Поновата варијанта, наречена ConsentFix, го пренасочува нападот кон OAuth процесот за давање согласност во Microsoft 365 – односно прозорците за најава и одобрување на пристап, на кои корисниците веќе се навикнати и честопати ги поминуваат без многу внимание.

Нападот е внимателно осмислен и изгледа сосема легитимно.

Жртвата најпрво добива фишинг порака, која често се испраќа преку доверливи платформи како Dropbox или DocSend. Во некои случаи, документот е дополнително заштитен со лозинка, што им отежнува на безбедносните алатки да ја анализираат неговата содржина.

Откако ќе кликне на линкот, жртвата гледа екран што изгледа како стандардна Microsoft страница за автентикација. Потоа ѝ се прикажува инструкција да го заврши процесот така што ќе повлече (drag-and-drop) localhost callback линк во интернет-прелистувачот.

Токму овој чекор е замката.

Наместо да заврши безопасен процес на автентикација, корисникот несвесно му ги предава на напаѓачот OAuth токените, со што му овозможува пристап до активната сесија, електронската пошта и другите Microsoft 365 услуги – без потреба од лозинка и со заобиколување на повеќефакторската автентикација (MFA).

Жртвата не внесува корисничко име или лозинка во лажен формулар. Наместо тоа, таа учествува во нешто што изгледа како целосно легитимен процес на најавување, додека всушност се краде нејзината активна сесија.

Слика 2 подолу прикажува како ConsentFix го претвора она што изгледа како нормален чекор при најавување на Microsoft 365 во кражба на корисничката сесија.

Слика 2: ConsentFix го киднапира процесот за најава во Microsoft 365 така што ја претвора познатата корисничка акција во кражба на активна сесија.

Криминалците го споделуваат „планот“ јавно

До почетокот на март 2026 година, детално упатство за ConsentFix било објавено на јавен руски форум за сајбер-криминал. Материјалот вклучувал функционален код, слики од инфраструктурата и видео-упатство кое чекор по чекор покажувало како се изведува и распоредува нападот.

Инфраструктурата во голема мера се потпирала на бесплатни или широко достапни сервиси, а објавата исто така опишувала како напаѓачите ги профилираат целите пред да испратат фишинг порака – користејќи LinkedIn и слични алатки за мапирање организации и прилагодување на нападите кон конкретни луѓе.

Она што порано бараше значителна техничка вештина, сега доаѓа со документација и инструкции чекор-по-чекор. Бариерата за влез постојано се намалува.

Како да се намали изложеноста на ризик

Свесноста сè уште игра важна улога. Овие напади се потпираат на тоа луѓето да минуваат низ познати процеси без да се запрашаат. Прашања како:

  • „Зошто оваа страница бара да притиснам комбинација на тастери?“
  • „Зошто ми се бара да повлечам непознат линк во прелистувачот?“

често се доволни за да се прекине целиот нападен синџир.

Сепак, само свесноста не е доволна, бидејќи овие напади се намерно дизајнирани да изгледаат како нормални активности. Поради тоа, потребни се и технички контроли што можат да откријат траги како:

  • невообичаена PowerShell активност која потекнува од нормални кориснички процеси;
  • нови најавувања на сметки од неочекувани локации.

Мониторингот на endpoint уреди и идентитети (identity monitoring) може да ги открие овие сигнали пред кратка грешка на корисникот да прерасне во целосно компромитирање на сметката.

Задачата на напаѓачот е да го прекине нормалниот тек на работа во точно одреден момент и да го натера корисникот сам да ја заврши останатата работа. Разбирањето на тој модел е првиот чекор кон негово спречување.

Tradecraft Tuesday: Без производи. Без промоции. Само напади.

Tradecraft Tuesday обезбедува детални анализи за професионалци во сајбер-безбедноста, фокусирани на најновите закани, техники на напаѓачите и стратегии за заштита. Секоја неделна сесија вклучува технички анализи на реални инциденти, детални прегледи на трендови во малициозен софтвер и ажурирани индикатори на компромитирање (IOCs).

Учесниците добиваат:

  • детални извештаи за нови заканувачки кампањи и варијанти на ransomware;
  • методи за одбрана базирани на докази и стратегии за санација;
  • директна комуникација со аналитичари од Huntress за увид во реагирање на инциденти;
  • пристап до практична разузнавачка информација и насоки за детекција.

Оваа програма им помага на организациите да ја зајакнат својата безбедносна позиција преку реално-временска интелигенција и техничко образование, специјално дизајнирано за оние што ги штитат своите системи.

Извори:

  • Bleeping Computer – ConsentFix and ClickFix: How Microsoft 365 Accounts are Hijacked in 3 Seconds Bleeping Computer