Kradzież tożsamości
Wysoki
ZarządCISOIT

Przejęcie konta Microsoft 365

M365 Account Takeover

Przejęcie konta Microsoft 365 przez consent phishing i nadużycie OAuth omija MFA. Zobacz jak atakujący zdobywają trwały dostęp do poczty i jak się chronić.

4 min czytaniaPrzykład: Kampania consent phishingu z fałszywą aplikacją OAuth podszywającą się pod usługę Microsoft — użytkownicy sami nadali dostęp do skrzynek, omijając MFA (opisane przez Microsoft Security)
Udostępnij
Kliknąłeś link:„Udostępniono Cidokument”MicrosoftDDoc Viewer Prodocviewerpro-app.comProśba o uprawnieniaTa aplikacja chce uzyskać dostęp do:Odczyt Twojej pocztyDostęp do plikówWysyłanie w Twoim imieniuDostęp offlineAkceptując, zezwalasz aplikacji naużycie Twoich danych zgodnie z jejzasadami. Możesz to zmienić w koncie.AnulujAkceptujNieznana aplikacja —kto ją stworzył?To NIE MicrosoftPo co przeglądarcedokumentówTwoja poczta?Token działa nawetpo zmianie hasła —MFA tego nie zatrzymaJedno kliknięcie= pełny dostępbez znajomości hasłaTO BYŁO PRZEJĘCIE KONTA M365— symulacja ataku —MFAnie chroni przedconsent phishingTokenprzeżywazmianę hasła< 15 minreakcja SOCSecIQseciq.pl

Kluczowe wnioski

  • Consent phishing nie łamie hasła — użytkownik sam klika „Zezwól” w fałszywej aplikacji OAuth, która dostaje trwały token do poczty i plików
  • MFA tego nie zatrzymuje, a token przetrwa nawet zmianę hasła — trzeba go osobno unieważnić
  • Po przejęciu konta atakujący czyta pocztę, tworzy reguły przekierowań i uderza w oszustwo na fakturę (BEC)
  • Obrona: MFA odporne na phishing (FIDO2), Conditional Access, kontrola zgód OAuth i monitoring logowań w Defender/Sentinel

Czym jest przejęcie konta Microsoft 365?

Przejęcie konta Microsoft 365 (account takeover) to sytuacja, w której atakujący uzyskuje kontrolę nad firmowym kontem użytkownika w chmurze Microsoft — Outlook, Teams, SharePoint i OneDrive. Ponieważ polski rynek jest mocno „microsoftowy", M365 jest zwykle centralnym systemem komunikacji firmy: cała poczta, kalendarz, dokumenty i wewnętrzne rozmowy. Przejęcie jednego konta oznacza dostęp do serca organizacji.

Najbardziej podstępnym wariantem jest consent phishing (nadużycie OAuth). Atakujący nie próbuje złamać hasła — nakłania użytkownika, aby sam kliknął „Zezwól / Accept" w fałszywej aplikacji OAuth. Aplikacja otrzymuje wtedy trwały token dostępu do poczty i plików. To kluczowa różnica: MFA tego nie zatrzymuje, bo użytkownik świadomie autoryzuje aplikację, a token przetrwa nawet zmianę hasła.

Jak działa atak?

Przejęcie konta M365 ma kilka typowych wektorów. Najgroźniejszy to consent phishing:

  1. Przynęta — użytkownik dostaje wiarygodnego e-maila lub link do „aplikacji Microsoft" (np. rzekomy dodatek do Teams, narzędzie do faktur, usługa do dokumentów)
  2. Ekran zgody OAuth — otwiera się prawdziwy ekran logowania Microsoft z prośbą o uprawnienia (np. „odczyt Twojej poczty", „dostęp do plików")
  3. Autoryzacja — użytkownik klika „Zezwól", nadając złośliwej aplikacji trwały token dostępu
  4. Trwały dostęp — aplikacja czyta pocztę i pliki bez potrzeby hasła; MFA i zmiana hasła nie odbierają tego dostępu, bo token żyje osobno

Pozostałe wektory prowadzące do przejęcia konta M365:

  • AiTM (adversary-in-the-middle) — phishing na spreparowaną stronę logowania, która działa jak proxy i kradnie token sesji / cookie z pominięciem MFA
  • Password spraying — masowe testowanie kilku popularnych haseł na wielu kontach naraz
  • Wyciek haseł — użycie loginów i haseł z wcześniejszych wycieków danych (re-użycie haseł)

Po przejęciu konta atakujący zwykle:

  • czyta pocztę i szuka wątków finansowych
  • tworzy reguły skrzynki przekierowujące lub ukrywające wiadomości (podstawa oszustwa na fakturę / BEC — Business Email Compromise)
  • porusza się bocznie w Teams i SharePoint, sięgając po kolejne dane
  • wysyła phishing z zaufanego konta — do współpracowników, klientów i kontrahentów, którzy ufają nadawcy

Kogo dotyczy w Polsce?

Przejęcie konta M365 dotyczy praktycznie każdej organizacji korzystającej z Microsoft 365 w Polsce:

  • Firmy MŚP i korporacje — dla których M365 to podstawowy system poczty i pracy zespołowej
  • Działy finansowe i księgowość — główny cel BEC i oszustwa na zmianę numeru konta na fakturze
  • Zarząd i kadra kierownicza — konta o wysokiej wartości (dostęp do poufnych informacji, autorytet do zatwierdzania płatności)
  • Podmioty pod NIS2 / KSC 2.0 — przejęcie konta to incydent podlegający obowiązkowi raportowania

CERT Polska od lat wskazuje przejęcia kont i BEC jako jedną z najczęściej zgłaszanych kategorii incydentów w firmach — a coraz częstsze omijanie MFA (AiTM, consent phishing) sprawia, że samo włączenie MFA przestaje wystarczać.

Jak się chronić?

  1. MFA odporne na phishing — passkeys / FIDO2 zamiast kodów SMS i push; klucze sprzętowe nie dają się przechwycić w ataku AiTM
  2. Conditional Access — reguły dostępu warunkowego w Entra ID: zaufane urządzenia, blokada logowań z ryzykownych lokalizacji, wymóg zgodnego urządzenia
  3. Kontrola zgód aplikacji OAuth — ograniczenie prawa użytkowników do samodzielnego nadawania zgód, admin consent workflow, regularny przegląd aplikacji z dostępem do poczty i plików
  4. Monitoring logowań i reguł skrzynki — wykrywanie nietypowych logowań oraz nowych reguł przekierowań/ukrywania poczty (Defender, Sentinel)
  5. Entra ID Protection — automatyczne wykrywanie ryzykownych użytkowników i logowań
  6. Szybkie unieważnienie tokenów — przy podejrzeniu przejęcia: cofnięcie zgód aplikacji, wymuszenie rewokacji sesji i wylogowania — nie tylko zmiana hasła

Jak SecIQ pomaga?

SecIQ jest Managed SOC zbudowanym wokół ekosystemu Microsoft, więc obrona konta M365 to naturalne dopasowanie:

  • SecIQ SOC monitoruje 24/7 logowania, zgody OAuth i reguły skrzynki — wykrywa consent phishing i AiTM zanim atakujący zdąży wyprowadzić dane lub uruchomić BEC
  • Microsoft Sentinel + Defender XDR + Entra ID — pełna widoczność tożsamości, poczty i urządzeń w jednym miejscu
  • Ochrona tożsamości — wdrożenie MFA odpornego na phishing, Conditional Access i przeglądu zgód aplikacji
  • Reagowanie na incydent — przy przejęciu konta: unieważnienie tokenów, cofnięcie zgód, usunięcie złośliwych reguł i ustalenie zasięgu — nie tylko reset hasła
  • Operatorzy, którzy znają Twoją organizację — to nie anonimowy zespół L1

Konto Microsoft 365 to dziś klucz do całej firmy. Umów rozmowę o ochronie tożsamości.

Źródła

Microsoft 365Przejęcie kontaConsent phishingOAuthEntra IDTożsamość
FAQ

Najczęściej zadawane pytania

Czy MFA chroni przed przejęciem konta Microsoft 365?
MFA blokuje klasyczne odgadywanie hasła, ale nie zatrzymuje consent phishingu — użytkownik sam autoryzuje złośliwą aplikację OAuth. Ataki adversary-in-the-middle (AiTM) potrafią też wykraść sam token sesji z pominięciem MFA. Dlatego potrzebne jest MFA odporne na phishing (FIDO2/passkey) i monitoring zgód aplikacji.
Dlaczego zmiana hasła nie usuwa atakującego z konta?
Bo consent phishing nie opiera się na haśle. Złośliwa aplikacja OAuth otrzymuje własny token dostępu (i refresh token), który działa niezależnie od hasła. Token trzeba unieważnić osobno — cofnąć zgodę aplikacji i wymusić rewokację sesji w Entra ID. Sama zmiana hasła nie wystarcza.
Po czym poznać, że konto M365 zostało przejęte?
Typowe sygnały to nietypowe logowania z zagranicy, nowe reguły skrzynki przekierowujące lub ukrywające pocztę, nieznane aplikacje OAuth z dostępem do poczty oraz wysyłka wiadomości, których użytkownik nie wysyłał. Microsoft Defender i Entra ID Protection oznaczają te anomalie automatycznie.
SECIQ

SecIQ Team

Zespół inżynierów bezpieczeństwa SecIQ. Monitorujemy zagrożenia 24/7, reagujemy w minutach i dzielimy się wiedzą, aby Twoja organizacja była bezpieczna.

Chroń swoją organizację

SecIQ SOC monitoruje zagrożenia 24/7 i reaguje na incydenty w minutach. Umów bezpłatną konsultację.

Bezpłatna konsultacja · 15 min · bez zobowiązań