Команда Microsoft Threat Intelligence во вторник опубликовала отчет, раскрывающий опасную тенденцию в сфере кибербезопасности: злоумышленники активно эксплуатируют специфические сценарии маршрутизации электронной почты и неправильно настроенную защиту от подмены (спуфинга). Основная цель этих атак — имитация внутреннего домена организации, чтобы фишинговые письма выглядели так, будто они отправлены сотрудниками внутри самой компании. Подобные оппортунистические кампании направлены на широкий спектр организаций в различных отраслях и вертикалях.
Всплеск использования этой тактики был зафиксирован специалистами еще в мае 2025 года, однако к осени масштабы угрозы существенно возросли. Согласно статистическим данным за октябрь 2025 года, только за этот месяц Microsoft заблокировала более 13 миллионов вредоносных писем, связанных с инструментом Tycoon 2FA. Эти цифры подтверждают растущую популярность методов обхода стандартных систем безопасности среди киберпреступников.
Уязвимость возникает в системах с сложными сценариями маршрутизации, где запись почтового обменника (MX record) указывает на локальную среду Exchange или сторонний сервис, через который почта проходит до попадания в Microsoft 365. Если при этом политики защиты от спуфинга не соблюдаются строго, злоумышленники используют этот пробел для отправки поддельных сообщений, которые система воспринимает как легитимные письма от собственного домена арендатора. Важно отметить, что организации, чьи MX-записи указывают непосредственно на Office 365, не подвержены данной уязвимости.
Визуально такие атаки можно идентифицировать по характерному признаку: в полях «Кому» и «От кого» используется один и тот же адрес электронной почты. Для реализации атак хакеры применяют платформы «Фишинг как услуга» (Phishing-as-a-Service, PhaaS), основным инструментом среди которых является комплект Tycoon 2FA. Эти платформы работают по принципу «plug-and-play», предоставляя мошенникам с ограниченными техническими навыками доступ к настраиваемым шаблонам и инфраструктуре. Более того, Tycoon 2FA использует технологию Adversary-in-the-Middle (AiTM), позволяющую обходить многофакторную аутентификацию (MFA).
Тематика фишинговых писем варьируется, но чаще всего злоумышленники используют проверенные схемы: уведомления о голосовой почте, доступ к общим документам, сообщения от HR-отдела касательно зарплаты или льгот, а также запросы на сброс пароля. Нередко встречается имитация уведомлений от легитимных сервисов, таких как DocuSign. Доставка вредоносного содержимого осуществляется через кликабельные ссылки в теле письма или через QR-коды, вложенные в файлы.
Особую опасность представляют сценарии финансового мошенничества, которые часто имитируют переписку между генеральным директором, поставщиком и бухгалтерией. Цель таких манипуляций — обманом заставить организацию оплатить фиктивные счета. Для создания ложного доверия используются три типа вложений: поддельный счет на тысячи долларов с инструкциями по переводу средств, форма налоговой службы IRS W-9 с указанием имени и номера социального страхования подставного лица, а также поддельное банковское письмо, якобы от сотрудника онлайн-банка, использованного для открытия мошеннического счета.
Для защиты от подобных угроз Microsoft рекомендует администраторам пересмотреть настройки безопасности почтовых шлюзов. Необходимо установить строгие политики DMARC (Domain-based Message Authentication, Reporting, and Conformance) в режим «reject» (отклонять) и политики SPF (Sender Policy Framework) в режим «hard fail». Также критически важно правильно настроить сторонние коннекторы, используемые для спам-фильтров или архивации, и отключить функцию Direct Send, если в ее использовании нет острой необходимости.
Изображение носит иллюстративный характер
Всплеск использования этой тактики был зафиксирован специалистами еще в мае 2025 года, однако к осени масштабы угрозы существенно возросли. Согласно статистическим данным за октябрь 2025 года, только за этот месяц Microsoft заблокировала более 13 миллионов вредоносных писем, связанных с инструментом Tycoon 2FA. Эти цифры подтверждают растущую популярность методов обхода стандартных систем безопасности среди киберпреступников.
Уязвимость возникает в системах с сложными сценариями маршрутизации, где запись почтового обменника (MX record) указывает на локальную среду Exchange или сторонний сервис, через который почта проходит до попадания в Microsoft 365. Если при этом политики защиты от спуфинга не соблюдаются строго, злоумышленники используют этот пробел для отправки поддельных сообщений, которые система воспринимает как легитимные письма от собственного домена арендатора. Важно отметить, что организации, чьи MX-записи указывают непосредственно на Office 365, не подвержены данной уязвимости.
Визуально такие атаки можно идентифицировать по характерному признаку: в полях «Кому» и «От кого» используется один и тот же адрес электронной почты. Для реализации атак хакеры применяют платформы «Фишинг как услуга» (Phishing-as-a-Service, PhaaS), основным инструментом среди которых является комплект Tycoon 2FA. Эти платформы работают по принципу «plug-and-play», предоставляя мошенникам с ограниченными техническими навыками доступ к настраиваемым шаблонам и инфраструктуре. Более того, Tycoon 2FA использует технологию Adversary-in-the-Middle (AiTM), позволяющую обходить многофакторную аутентификацию (MFA).
Тематика фишинговых писем варьируется, но чаще всего злоумышленники используют проверенные схемы: уведомления о голосовой почте, доступ к общим документам, сообщения от HR-отдела касательно зарплаты или льгот, а также запросы на сброс пароля. Нередко встречается имитация уведомлений от легитимных сервисов, таких как DocuSign. Доставка вредоносного содержимого осуществляется через кликабельные ссылки в теле письма или через QR-коды, вложенные в файлы.
Особую опасность представляют сценарии финансового мошенничества, которые часто имитируют переписку между генеральным директором, поставщиком и бухгалтерией. Цель таких манипуляций — обманом заставить организацию оплатить фиктивные счета. Для создания ложного доверия используются три типа вложений: поддельный счет на тысячи долларов с инструкциями по переводу средств, форма налоговой службы IRS W-9 с указанием имени и номера социального страхования подставного лица, а также поддельное банковское письмо, якобы от сотрудника онлайн-банка, использованного для открытия мошеннического счета.
Для защиты от подобных угроз Microsoft рекомендует администраторам пересмотреть настройки безопасности почтовых шлюзов. Необходимо установить строгие политики DMARC (Domain-based Message Authentication, Reporting, and Conformance) в режим «reject» (отклонять) и политики SPF (Sender Policy Framework) в режим «hard fail». Также критически важно правильно настроить сторонние коннекторы, используемые для спам-фильтров или архивации, и отключить функцию Direct Send, если в ее использовании нет острой необходимости.
