Przejęcie konta Microsoft 365
M365 Account Takeover
Przejęcie konta Microsoft 365 przez consent phishing i nadużycie OAuth omija MFA. Zobacz jak atakujący zdobywają trwały dostęp do poczty i jak się chronić.
MITRE ATT&CK
Kluczowe wnioski
- ◆Consent phishing nie łamie hasła — użytkownik sam klika „Zezwól” w fałszywej aplikacji OAuth, która dostaje trwały token do poczty i plików
- ◆MFA tego nie zatrzymuje, a token przetrwa nawet zmianę hasła — trzeba go osobno unieważnić
- ◆Po przejęciu konta atakujący czyta pocztę, tworzy reguły przekierowań i uderza w oszustwo na fakturę (BEC)
- ◆Obrona: MFA odporne na phishing (FIDO2), Conditional Access, kontrola zgód OAuth i monitoring logowań w Defender/Sentinel
Czym jest przejęcie konta Microsoft 365?
Przejęcie konta Microsoft 365 (account takeover) to sytuacja, w której atakujący uzyskuje kontrolę nad firmowym kontem użytkownika w chmurze Microsoft — Outlook, Teams, SharePoint i OneDrive. Ponieważ polski rynek jest mocno „microsoftowy", M365 jest zwykle centralnym systemem komunikacji firmy: cała poczta, kalendarz, dokumenty i wewnętrzne rozmowy. Przejęcie jednego konta oznacza dostęp do serca organizacji.
Najbardziej podstępnym wariantem jest consent phishing (nadużycie OAuth). Atakujący nie próbuje złamać hasła — nakłania użytkownika, aby sam kliknął „Zezwól / Accept" w fałszywej aplikacji OAuth. Aplikacja otrzymuje wtedy trwały token dostępu do poczty i plików. To kluczowa różnica: MFA tego nie zatrzymuje, bo użytkownik świadomie autoryzuje aplikację, a token przetrwa nawet zmianę hasła.
Jak działa atak?
Przejęcie konta M365 ma kilka typowych wektorów. Najgroźniejszy to consent phishing:
- Przynęta — użytkownik dostaje wiarygodnego e-maila lub link do „aplikacji Microsoft" (np. rzekomy dodatek do Teams, narzędzie do faktur, usługa do dokumentów)
- Ekran zgody OAuth — otwiera się prawdziwy ekran logowania Microsoft z prośbą o uprawnienia (np. „odczyt Twojej poczty", „dostęp do plików")
- Autoryzacja — użytkownik klika „Zezwól", nadając złośliwej aplikacji trwały token dostępu
- Trwały dostęp — aplikacja czyta pocztę i pliki bez potrzeby hasła; MFA i zmiana hasła nie odbierają tego dostępu, bo token żyje osobno
Pozostałe wektory prowadzące do przejęcia konta M365:
- AiTM (adversary-in-the-middle) — phishing na spreparowaną stronę logowania, która działa jak proxy i kradnie token sesji / cookie z pominięciem MFA
- Password spraying — masowe testowanie kilku popularnych haseł na wielu kontach naraz
- Wyciek haseł — użycie loginów i haseł z wcześniejszych wycieków danych (re-użycie haseł)
Po przejęciu konta atakujący zwykle:
- czyta pocztę i szuka wątków finansowych
- tworzy reguły skrzynki przekierowujące lub ukrywające wiadomości (podstawa oszustwa na fakturę / BEC — Business Email Compromise)
- porusza się bocznie w Teams i SharePoint, sięgając po kolejne dane
- wysyła phishing z zaufanego konta — do współpracowników, klientów i kontrahentów, którzy ufają nadawcy
Kogo dotyczy w Polsce?
Przejęcie konta M365 dotyczy praktycznie każdej organizacji korzystającej z Microsoft 365 w Polsce:
- Firmy MŚP i korporacje — dla których M365 to podstawowy system poczty i pracy zespołowej
- Działy finansowe i księgowość — główny cel BEC i oszustwa na zmianę numeru konta na fakturze
- Zarząd i kadra kierownicza — konta o wysokiej wartości (dostęp do poufnych informacji, autorytet do zatwierdzania płatności)
- Podmioty pod NIS2 / KSC 2.0 — przejęcie konta to incydent podlegający obowiązkowi raportowania
CERT Polska od lat wskazuje przejęcia kont i BEC jako jedną z najczęściej zgłaszanych kategorii incydentów w firmach — a coraz częstsze omijanie MFA (AiTM, consent phishing) sprawia, że samo włączenie MFA przestaje wystarczać.
Jak się chronić?
- MFA odporne na phishing — passkeys / FIDO2 zamiast kodów SMS i push; klucze sprzętowe nie dają się przechwycić w ataku AiTM
- Conditional Access — reguły dostępu warunkowego w Entra ID: zaufane urządzenia, blokada logowań z ryzykownych lokalizacji, wymóg zgodnego urządzenia
- Kontrola zgód aplikacji OAuth — ograniczenie prawa użytkowników do samodzielnego nadawania zgód, admin consent workflow, regularny przegląd aplikacji z dostępem do poczty i plików
- Monitoring logowań i reguł skrzynki — wykrywanie nietypowych logowań oraz nowych reguł przekierowań/ukrywania poczty (Defender, Sentinel)
- Entra ID Protection — automatyczne wykrywanie ryzykownych użytkowników i logowań
- Szybkie unieważnienie tokenów — przy podejrzeniu przejęcia: cofnięcie zgód aplikacji, wymuszenie rewokacji sesji i wylogowania — nie tylko zmiana hasła
Jak SecIQ pomaga?
SecIQ jest Managed SOC zbudowanym wokół ekosystemu Microsoft, więc obrona konta M365 to naturalne dopasowanie:
- SecIQ SOC monitoruje 24/7 logowania, zgody OAuth i reguły skrzynki — wykrywa consent phishing i AiTM zanim atakujący zdąży wyprowadzić dane lub uruchomić BEC
- Microsoft Sentinel + Defender XDR + Entra ID — pełna widoczność tożsamości, poczty i urządzeń w jednym miejscu
- Ochrona tożsamości — wdrożenie MFA odpornego na phishing, Conditional Access i przeglądu zgód aplikacji
- Reagowanie na incydent — przy przejęciu konta: unieważnienie tokenów, cofnięcie zgód, usunięcie złośliwych reguł i ustalenie zasięgu — nie tylko reset hasła
- Operatorzy, którzy znają Twoją organizację — to nie anonimowy zespół L1
Konto Microsoft 365 to dziś klucz do całej firmy. Umów rozmowę o ochronie tożsamości.
Źródła
Najczęściej zadawane pytania
Czy MFA chroni przed przejęciem konta Microsoft 365?
Dlaczego zmiana hasła nie usuwa atakującego z konta?
Po czym poznać, że konto M365 zostało przejęte?
SecIQ Team
Zespół inżynierów bezpieczeństwa SecIQ. Monitorujemy zagrożenia 24/7, reagujemy w minutach i dzielimy się wiedzą, aby Twoja organizacja była bezpieczna.
Powiązane ataki
Chroń swoją organizację
SecIQ SOC monitoruje zagrożenia 24/7 i reaguje na incydenty w minutach. Umów bezpłatną konsultację.
Bezpłatna konsultacja · 15 min · bez zobowiązań