NEWSLETTER
NEWSLETTER
Strona głównaCyfryzacja i AI w medycynieCSIRT CEZ alarmuje: uwaga na kampanię phishingową w Microsoft 365
Cyfryzacja i AI w medycynie

CSIRT CEZ alarmuje: uwaga na kampanię phishingową w Microsoft 365

Aktualizacja 31-07-2025 11:02
Agnieszka Fodrowska
Agnieszka Fodrowska
0
lekarka gabinet komputer
Fot. Pexels / Tima Miroshnichenko
Spis treści ukryj

Zespół CSIRT CEZ ostrzega przed trwającą od maja 2025 roku kampanią phishingową wymierzoną w organizacje korzystające z Microsoft 365. Cyberprzestępcy wykorzystują mało znaną funkcjonalność Direct Send, aby podszywać się pod zaufanych nadawców bez przejmowania kont użytkowników. Ofiary często otrzymują sfałszowane wewnętrzne e-maile z załącznikami PDF i kodami QR, które przekierowują na fałszywe strony logowania.

Z tego artykułu dowiesz się…

  • Jak działa atak phishingowy z wykorzystaniem funkcji Direct Send w Microsoft 365.
  • Dlaczego ta technika omija tradycyjne zabezpieczenia poczty elektronicznej.
  • Jakie są rekomendacje Zespołu CSIRT CEZ dla placówek medycznych i farmaceutycznych.

Zespół CSIRT CEZ ostrzega: atak bez włamania

Zespół CSIRT CEZ wydał komunikat dotyczący trwającej kampanii phishingowej skierowanej do organizacji korzystających z Microsoft 365. Atak opiera się na wykorzystaniu funkcji Direct Send w Exchange Online, która pierwotnie została stworzona z myślą o umożliwieniu wewnętrznym urządzeniom – takim jak drukarki – wysyłania e-maili bez uwierzytelniania.

Oszuści podszywają się pod gabinet.gov.pl i IKP – alert CSIRT CeZ dla pracowników ochrony zdrowia
ZOBACZ KONIECZNIE Oszuści podszywają się pod gabinet.gov.pl i IKP – alert CSIRT CeZ dla pracowników ochrony zdrowia

Wykorzystywana luka pozwala atakującym wysyłać wiadomości wyglądające jak wewnętrzna korespondencja, bez konieczności przejmowania kont. To zdecydowanie utrudnia wykrycie zagrożenia – wiadomości wyglądają wiarygodnie, często imitując wewnętrzne alerty lub powiadomienia.

Skala zagrożenia: ponad 70 organizacji na celowniku

Zgodnie z analizą firmy Varonis, kampania phishingowa rozpoczęta w maju 2025 roku dotknęła już ponad 70 organizacji na całym świecie. Ataki są skuteczne, ponieważ mechanizmy filtrowania Microsoft traktują wiadomości wysłane przez smart hosta jako wewnętrzne, mimo że pochodzą z zewnętrznych adresów IP.

Najczęściej spotykane tematy wiadomości to rzekome powiadomienia o wiadomościach głosowych i faksach. Wiadomości zawierają załączniki PDF z kodem QR. Po jego zeskanowaniu użytkownik trafia na fałszywą stronę logowania Microsoft 365 – celem ataku jest pozyskanie loginu i hasła.

Uwaga na fałszywe e-maile „z GIF-u”. Główny Inspektorat ostrzega
ZOBACZ KONIECZNIE Uwaga na fałszywe e-maile „z GIF-u”. Główny Inspektorat ostrzega

Jak działa atak przy użyciu Direct Send?

Aby przeprowadzić atak, przestępcy potrzebują jedynie:

  • domeny organizacji (dostępnej publicznie),
  • adresu e-mail pracownika (często dostępny przez OSINT lub wycieki),
  • przewidywalnego formatu smart hosta, np. organizacja.mail.protection.outlook.com

Wiadomość wysłana przez zewnętrzny serwer może wyglądać jak autentyczna korespondencja, np. „od samego siebie”. Dodatkowo, możliwe jest spoofowanie pola „From”, czyli podszywanie się pod dowolnego pracownika.

Dlaczego to zagrożenie jest wyjątkowo groźne?

Skuteczność tej techniki wynika z kilku czynników:

  • brak potrzeby logowania – wiadomości są przyjmowane bez uwierzytelniania,
  • system Microsoft 365 traktuje je jako wewnętrzne,
  • wiele zabezpieczeń bazuje na reputacji nadawcy lub SPF/DKIM/DMARC, które tu często zawiodą,
  • atakujący mogą używać PowerShell jako agenta użytkownika, co dodatkowo utrudnia identyfikację ataku.
99,9% ataków można zablokować. MFA ratunkiem dla systemów medycznych
ZOBACZ KONIECZNIE 99,9% ataków można zablokować. MFA ratunkiem dla systemów medycznych

Co rekomenduje CSIRT CEZ?

Zespół CSIRT CEZ zaleca wszystkim placówkom ochrony zdrowia korzystającym z Microsoft 365:

  • wyłączyć funkcję Direct Send (Exchange Admin Center > Reject Direct Send),
  • ustawić politykę DMARC na poziomie p=reject,
  • aktywować „SPF hardfail” i oznaczać nieuwierzytelnione wiadomości do analizy lub kwarantanny,
  • wdrożyć polityki anti-spoofingu w Microsoft 365 oraz przypisać statyczny adres IP w rekordzie SPF.

Dodatkowo, jeśli istnieje podejrzenie, że organizacja padła ofiarą ataku:

  • przeanalizować logi pod kątem nietypowych wzorców (np. wiadomości wysyłane od użytkownika do siebie),
  • sprawdzić aktywność kont, które otrzymały podejrzane wiadomości,
  • zrewidować konfigurację bezpieczeństwa zgodnie z zaleceniami Microsoft,
  • wdrożyć kampanię edukacyjną dla personelu.

Każdy podejrzany przypadek należy zgłosić zespołom IT lub bezpieczeństwa.

Główne wnioski

  1. Od maja 2025 roku ponad 70 organizacji padło ofiarą kampanii phishingowej wykorzystującej podatność w funkcji Direct Send dostępnej w Microsoft 365 (Exchange Online).
  2. Atakujący nie potrzebują logowania ani przejęcia konta – wystarczy im znajomość domeny i adresu e-mail, aby wysłać sfałszowaną wiadomość, która wygląda jak wewnętrzna korespondencja.
  3. CSIRT CEZ zaleca natychmiastowe wyłączenie funkcji Direct Send oraz wdrożenie polityk DMARC, SPF hardfail i anti-spoofingu, aby ograniczyć ryzyko dalszych ataków.

Źródło:

  • CeZ

Trzymaj rękę na pulsie.
Zaobserwuj nas na Google News!

OBSERWUJ
ikona Google News
Agnieszka Fodrowska
Agnieszka Fodrowska
Redaktorka i specjalistka marketingu internetowego z wieloletnim doświadczeniem w tworzeniu treści dla sektora ochrony zdrowia. Specjalizuje się w tematach związanych z innowacjami i cyfryzacją medycyny oraz farmacji - od AI po robotykę chirurgiczną. Prywatnie miłośniczka podróży, dobrej muzyki i psów.

Ważne tematy

Trzymaj rękę na pulsie. Zapisz się na newsletter.

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj

Więcej aktualności

Alert Medyczny to serwis informacyjny dla profesjonalistów z branży medycznej i farmaceutycznej, publikujący najnowsze wiadomości i analizy.

Wszelkie prawa zastrzeżone © alertmedyczny.pl 2026

Dowiedz się więcej

Popularne kategorie

O nas