Egy új típusú adathalász támadás terjed, amely mindössze 3 másodperc alatt képes átvenni az irányítást a Microsoft 365 fiókja felett. A legijesztőbb az egészben, hogy a kétlépcsős azonosítás sem véd ellene.

Mi az a ClickFix és ConsentFix?

A ClickFix támadás 2025-ben robbant be, és azóta is aktív. Lényege egyszerű: az áldozat egy hamis weboldalon kap egy utasítást, hogy nyomjon meg egy billentyűkombinációt, például egy “nem vagyok robot” ellenőrzés részeként. Valójában ezzel egy rejtett parancsot futtat le a saját gépén.

A ConsentFix ennek a továbbfejlesztett változata, amely kifejezetten a Microsoft 365 fiókokat célozza. Itt nem jelszót lopnak, hanem az úgynevezett OAuth jogosultságot csavarják el, vagyis azt a bejelentkezési folyamatot, amelyet mindannyian megszoktunk, és gondolkodás nélkül végigkattintunk.

A támadók megbízható platformokon keresztül küldik az adathalász üzeneteket, például Dropboxon vagy DocSenden. Az áldozat egy teljesen normálisnak tűnő Microsoft bejelentkezési képernyőt lát, majd arra kérik, hogy húzzon át egy linket a böngészőjébe. Ezzel a lépéssel adja át a fiókjához tartozó hozzáférési tokent a támadónak.

Miért nem véd a kétlépcsős azonosítás?

Ez a kérdés sokakat meglephet. A ConsentFix azért különösen veszélyes, mert teljesen megkerüli a jelszó- és a kétfaktoros védelmet is. A támadónak nem kell ismernie a jelszavát, és nem kell lehallgatnia az SMS-kódot sem. Az áldozat maga végzi el a hitelesítést, a támadó pedig az eredményül kapott tokent használja fel.

ConsentFix OAuth token lopás illusztráció
A ConsentFix támadás a böngészőben zajlik, jelszó és kétfaktoros hitelesítés nélkül

A módszer azért is alattomos, mert az egész folyamat a böngészőben zajlik. Nem telepít semmit a gépre, nem hagy nyomot a vírusirtónak, és még a legkorszerűbb végpontvédelmi megoldások sem jelzik.

FontosA ConsentFix támadás 2026 márciusa óta nyilvánosan elérhető egy orosz kiberbűnözői fórumon, teljes kóddal és videós útmutatóval. Ez azt jelenti, hogy bárki, minimális technikai tudással is végrehajthatja. A kockázat minden Microsoft 365 felhasználót érint.

Hogyan zajlik a támadás a gyakorlatban?

A támadók előbb felmérik a célpontot: a LinkedIn profilokból és nyilvános adatokból feltérképezik a szervezetet, majd személyre szabott adathalász üzenetet küldenek. Ez gyakran egy dokumentummegosztási értesítésnek tűnik, amelyet jelszó véd, így a biztonsági szűrők sem tudják vizsgálni a tartalmát.

Az áldozat rákattint, megadja a jelszót, és egy ismerős Microsoft bejelentkezési felületre kerül. A folyamat végén megkérik, hogy húzza át vagy másolja be a böngészőbe a megjelenő linket. Ezzel átadja az OAuth kódot, amelyből a támadó azonnal hozzáférési tokent generál.

Az egész folyamat kevesebb mint 3 másodpercet vesz igénybe, és az áldozat semmilyen gyanús tevékenységet nem észlel. Nem adott meg semmit egy hamis oldalon, nem töltött le semmit, csupán egy megszokott munkafolyamatot végzett el.

Hogyan védekezhet?

A legfontosabb szabály: soha ne másoljon be vagy húzzon át ismeretlen linkeket a böngészőjébe, különösen bejelentkezési folyamat közben. Ha egy webhely arra kéri, hogy nyomjon meg billentyűkombinációt vagy húzzon át egy linket, az szinte biztosan támadás.

Ha egy bejelentkezési folyamat közben bármi szokatlanul vagy váratlanul történik, azonnal zárja be a böngészőt. Ne próbálja meg befejezni a folyamatot. Inkább nyissa meg közvetlenül az office.com oldalt, és jelentkezzen be onnan.

Érdemes rendszeresen ellenőrizni, hogy milyen alkalmazások férnek hozzá a Microsoft 365 fiókjához. Ezt a fiókbeállítások biztonsági részlegében teheti meg. Ha ismeretlen alkalmazást talál, azonnal vonja vissza a hozzáférését.

Ön kapott már gyanús dokumentummegosztási értesítést? Ha Microsoft 365 előfizetésre van szüksége megbízható forrásból, nézze meg a Soft.Direct kínálatát, ahol eredeti licenceket talál kedvező áron.

Forrás: BleepingComputer