Αν δουλεύεις με Microsoft 365, υπάρχει ένα νέο είδος απάτης που δεν μοιάζει πια με το κλασικό «στείλε τον κωδικό σου». Οι επιτιθέμενοι προσπαθούν να σε πείσουν να καταχωρίσεις ένα ψεύτικο Entra passkey, δηλαδή ένα βήμα που μοιάζει νόμιμο και ακουμπά ακριβώς εκεί που πολλοί χρήστες νιώθουν πιο ασφαλείς: στην επιβεβαίωση ταυτότητας χωρίς κωδικό.
Το πρόβλημα είναι απλό και ύπουλο μαζί. Όταν ο χρήστης νομίζει ότι ενισχύει την ασφάλεια του λογαριασμού του, μπορεί στην πραγματικότητα να παραδώσει πρόσβαση σε ολόκληρο το Microsoft 365 περιβάλλον της εταιρείας του. Για μικρές επιχειρήσεις, λογιστικά γραφεία, ιατρεία, δικηγόρους και ομάδες που βασίζονται σε Outlook, OneDrive και Teams, αυτό δεν είναι απλώς «ένα ύποπτο email». Είναι πιθανό σημείο παραβίασης με κανονικό επιχειρησιακό κόστος.
TL;DR: Μην εμπιστεύεσαι αιτήματα για νέο passkey που έρχονται από μήνυμα, φωνητική κλήση ή «υποστήριξη». Έλεγξε την πηγή, κλείδωσε MFA με πιο αυστηρές ρυθμίσεις και βάλε πολιτικές για passkeys, device code flows και admin consent.
Η νέα παγίδα: δεν ζητούν πια μόνο τον κωδικό
Η μέθοδος βασίζεται σε κοινωνική μηχανική με πιο πειστικό σενάριο. Ο χρήστης δέχεται ένα τηλεφώνημα, ένα μήνυμα ή μια προτροπή που παρουσιάζεται σαν επείγον ζήτημα ασφαλείας. Το επόμενο βήμα μοιάζει απολύτως λογικό: «Επαλήθευσε ξανά τον λογαριασμό σου» ή «Πρόσθεσε νέο passkey για προστασία». Εκεί ακριβώς κρύβεται η παγίδα.
Το passkey έχει κερδίσει την εμπιστοσύνη του κόσμου επειδή καταργεί τους αδύναμους κωδικούς και δυσκολεύει το phishing. Όμως αυτή η εμπιστοσύνη γίνεται όπλο όταν ο επιτιθέμενος μεταφέρει τη διαδικασία σε πλαστό περιβάλλον. Αν ο χρήστης πιστέψει ότι βλέπει επίσημο enrollment flow, μπορεί να ολοκληρώσει ο ίδιος την παράδοση πρόσβασης χωρίς να το καταλάβει.
Ποιοι κινδυνεύουν περισσότερο στο Microsoft 365
Οι πιο εκτεθειμένοι δεν είναι μόνο οι μεγάλες εταιρείες. Στην πράξη, οι μικρές ομάδες πληρώνουν συχνά πιο ακριβά κάθε λάθος γιατί δεν έχουν ξεχωριστό SOC, δεν παρακολουθούν logs κάθε μέρα και δεν δοκιμάζουν συνεχώς τα recovery σχέδια. Αν μια επιχείρηση βασίζεται σε κοινά inboxes, σε έναν μόνο admin ή σε υπολογιστές που μπαίνουν όλοι με το ίδιο policy, το ρίσκο ανεβαίνει γρήγορα.
Ιδιαίτερη προσοχή χρειάζονται όσοι χρησιμοποιούν:
- Microsoft 365 για email, αρχεία και κοινόχρηστα ημερολόγια
- Entra ID για σύνδεση χρηστών και εφαρμογών
- MFA με push prompts χωρίς επιπλέον έλεγχο
- device code login ή απομακρυσμένη βοήθεια από «τεχνικό» που τηλεφωνεί
- παλιά recovery email ή τηλέφωνα που δεν ελέγχονται συχνά
Στην ελληνική αγορά αυτό αγγίζει και μικρές επιχειρήσεις που δουλεύουν με εξωτερικούς συνεργάτες, λογιστικά γραφεία, ξενοδοχεία, γραφεία real estate και καταστήματα που έχουν μεταφέρει όλη τη λειτουργία τους στο cloud χωρίς σοβαρή πολιτική πρόσβασης.
Τα σημάδια που πρέπει να σε σταματήσουν πριν πατήσεις οτιδήποτε
Υπάρχουν μερικά καθαρά καμπανάκια. Αν δεις ένα αίτημα για νέο passkey που έρχεται από απροσδόκητο μήνυμα, από κλήση που σε πιέζει χρονικά ή από σελίδα που δεν βρίσκεται στο κανονικό domain της Microsoft, σταμάτα. Το ίδιο ισχύει αν σου ζητούν να επιβεβαιώσεις τη σύνδεση με φράσεις όπως «έκτακτη ασφάλεια», «απενεργοποιημένος λογαριασμός» ή «υποχρεωτική επανεγγραφή».
Δώσε επίσης προσοχή στα μικρά λάθη που προδίδουν phishing kit: περίεργα URL, ανορθόγραφα πεδία, ασυνήθιστο branding, βιαστικές οδηγίες ή φόρμες που ανοίγουν σε browser χωρίς να περνούν από το κανονικό login της Microsoft. Όταν κάτι μοιάζει σωστό αλλά δεν δένει απόλυτα με τη συνήθη ροή, συνήθως αξίζει δεύτερος έλεγχος.
Τι να κάνεις τώρα σε λογαριασμούς και συσκευές
Αν είσαι χρήστης, το πρώτο βήμα είναι να μπεις μόνος σου στο Microsoft account ή στο εταιρικό portal, όχι από link που έλαβες. Έλεγξε αν έχει προστεθεί άγνωστο passkey, αν υπάρχουν νέες συσκευές συνδεδεμένες, αν ενεργοποιήθηκαν ύποπτες συνεδρίες και αν άλλαξαν ρυθμίσεις ασφάλειας. Αν δεις κάτι παράξενο, κάνε άμεσα sign-out από όλες τις συσκευές και άλλαξε τα credentials από καθαρή συσκευή.
Για μικρή επιχείρηση, η σειρά κινήσεων είναι πιο αυστηρή:
- Έλεγξε τα Entra sign-in logs για ασυνήθιστες εγγραφές passkey και περίεργες προσπάθειες MFA.
- Απενεργοποίησε ή περιόρισε ροές που επιτρέπουν device code authentication αν δεν τις χρειάζεστε πραγματικά.
- Ρύθμισε admin consent έτσι ώστε κανείς να μην εγκρίνει εφαρμογές χωρίς έλεγχο.
- Βάλε ισχυρή πολιτική για recovery methods και αφαίρεσε παλιά τηλέφωνα ή emails.
- Εκπαίδευσε τους χρήστες να μην ολοκληρώνουν «τεχνικές» επιβεβαιώσεις από τηλέφωνο ή chat.
Αν έχεις ήδη ενεργοποιήσει passkeys, μην τα απενεργοποιήσεις από φόβο. Το σωστό είναι να τα κρατήσεις και να κλείσεις τα κενά γύρω τους. Η λύση δεν είναι να γυρίσεις σε αδύναμους κωδικούς. Η λύση είναι να σκληρύνεις το enrollment, να περιορίσεις τις οδούς εισόδου και να σπάσεις την εξάρτηση από έναν μόνο παράγοντα πρόσβασης.
Οι ρυθμίσεις που αξίζουν περισσότερο από ένα «δύσκολο password»
Αν πρέπει να διαλέξεις λίγα πράγματα που κάνουν πραγματική διαφορά, κράτα αυτά: phishing-resistant MFA όπου γίνεται, passkeys μόνο από αξιόπιστες συσκευές, ξεχωριστός admin λογαριασμός για διαχείριση, Conditional Access με έλεγχο συσκευής και γεωγραφίας, και καταγραφή ειδοποιήσεων για αλλαγές ασφαλείας. Σε περιβάλλον με Windows 11 ή εταιρικά laptops, φρόντισε να έχεις ενεργό BitLocker, ενημερωμένα patches και ξεκάθαρο έλεγχο σε Remote Desktop και browser sessions.
Αν η επιχείρηση χρησιμοποιεί και Zimbra ή άλλο web mail σύστημα, μην το αφήσεις έξω από το πλάνο. Οι πρόσφατες κρίσιμες ευπάθειες σε web clients θυμίζουν ότι το email stack θέλει συνολική συντήρηση, όχι αποσπασματικά fixes. Το ίδιο ισχύει για addons, SSO συνδέσεις και παλιά portals που συχνά ξεχνιούνται επειδή «δεν τα κοιτάζει κανείς».
Μια πρακτική γραμμή άμυνας για την επόμενη επίθεση
Το πιο χρήσιμο mindset εδώ είναι ότι ο επιτιθέμενος δεν χρειάζεται πάντα να σπάσει το σύστημα. Συχνά αρκεί να πείσει τον χρήστη ότι βοηθά την ασφάλεια. Γι’ αυτό και οι άμυνες πρέπει να είναι και τεχνικές και ανθρώπινες: έλεγχος ταυτότητας με ισχυρές ρυθμίσεις, περιορισμός των ευαίσθητων flows, αλλά και κανόνας στην ομάδα ότι κανείς δεν ολοκληρώνει επανεγγραφή ή νέο passkey από απρόσμενο prompt.
Αν διαχειρίζεσαι λογαριασμούς Microsoft 365 στην Ελλάδα, βάλε σήμερα κιόλας μια γρήγορη επιθεώρηση: ποιος έχει admin δικαιώματα, τι MFA χρησιμοποιεί ο καθένας, αν υπάρχουν παλιές μέθοδοι ανάκτησης και αν τα logs σου δείχνουν ασυνήθιστες εγγραφές. Εκεί κρύβεται συνήθως το πραγματικό κέρδος της πρόληψης: λιγότερη ζημιά, λιγότερη διακοπή εργασίας και πολύ μικρότερη πιθανότητα να τρέχετε μετά από λογαριασμό που παραβιάστηκε.