Новая фишинговая кампания обходит MFA через кражу токенов сессий

Microsoft зафиксировала масштабную фишинговую кампанию, использующую тему «кодекса корпоративной этики» для кражи учетных данных. Злоумышленники применяют многоэтапную цепочку атак и легитимные почтовые сервисы, чтобы похищать токены сессий через AiTM-атаки. Это позволяет хакерам обходить многофакторную аутентификацию и получать доступ к защищенным аккаунтам. Почему это важно: даже при включенном MFA пользователи остаются уязвимы для продвинутых атак, крадущих токены авторизации.