Snilld

Når hjælp fra helpdesken åbner døren

VentureBeat refererer CrowdStrikes seneste finans‑rapport og en omtalt FBI‑advarsel: angribere ringer til support, får MFA nulstillet og henter et OAuth‑token via Microsofts device‑code flow. Ingen adgangskoder i spil, ifølge artiklen. Vi gennemgår, hvad kilderne faktisk siger, og hvad Microsoft dokumenterer om mekanikken.

27. maj 2026 Peter Munkholm

Ifølge VentureBeats dækning af nye tal om finanssektoren er et gennemgående angrebsmønster ikke baseret på stjålne adgangskoder. I stedet social‑engineeres interne supportkanaler: en opkalder udgiver sig for IT, får nulstillet multifaktor, registrerer en angriberstyret enhed og bruger efterfølgende et legitimt login‑flow til at få adgang via token. VentureBeat baserer den fortælling på CrowdStrikes 2026 Financial Services Threat Landscape Report og henviser desuden til en FBI‑advarsel om et værktøj kaldet Kali365.

Som VentureBeat refererer det, identificerede CrowdStrike i perioden april 2025 til marts 2026 trusselsaktøren Mutant Spider som den mest aktive mod finanssektoren. Artiklen skriver, at teknikken typisk var voice‑phishing over Microsoft Teams, hvor operatører udgav sig for intern IT‑support, fik nulstillet både legitimationsoplysninger og MFA og derefter registrerede deres egne enheder på netværket. Hele kæden beskrives i VentureBeats artikel som central for de hændelser, der ramte flest finansorganisationer.

Hvad kilderne dokumenterer

VentureBeat skriver også, at FBI kort efter udgav en public service‑meddelelse om Kali365, en phishing‑as‑a‑service på Telegram, der kan fange Microsoft 365 OAuth‑tokens via det legitime device‑code‑flow. Ifølge artiklen sker MFA‑prompten på offerets egen enhed, mens angriberens klient blot afventer godkendelsen. VentureBeat anfører, at tokenet kan give vedvarende adgang til Outlook, Teams og OneDrive uden, at angriberens maskine møder en ny MFA‑prompt.

De kvantitative nedslag i VentureBeat omfatter to punkter, der begge er tilskrevet primære rapporter: at finans i Q1 2026 var den fjerde mest ramte sektor med 12 procent af observeret modstanderaktivitet ifølge CrowdStrike, samt at Verizons 2026‑DBIR fandt credential theft nede på 13 procent som initial adgang, mens sårbarhedseksploitering lå på 31 procent og var øverst. Tallene er gengivet af VentureBeat; den fulde CrowdStrike‑PDF og Verizons rapportsektioner er ikke citeret direkte her.

Banner
Nært makrofoto af en anonym hånd med smartphone; sløret godkendelses‑UI og cyan/purpur signalaccents, uden læsbar tekst.

Angrebskæden som beskrevet af VentureBeat

Artiklen beskriver et forløb i fire trin: 1) kontakt til support via Teams og impersonering af intern IT, 2) overtalelse til reset af brugerens adgang og MFA, 3) registrering af en enhed, angriberen kontrollerer, og 4) gennemførsel af Microsofts device‑code‑flow for at modtage et OAuth‑token, som kan bruges til mails, filer og samarbejdsværktøjer afhængigt af tildelte scopes. Hele kæden er refereret fra VentureBeats gennemgang af CrowdStrikes fund og den nævnte FBI‑advarsel.

Pointen i VentureBeats framing er, at password‑hygiejne i sig selv ikke forhindrer den slags hændelser, fordi adgangen etableres via procestrin omkring brugeren og support, ikke ved klassisk credential‑phishing. Den konklusion er VentureBeats, baseret på deres interview‑ og kildebrug i artiklen.

Hvordan device‑code‑flowet fungerer ifølge Microsoft

Microsofts egen dokumentation for OAuth 2.0 device‑code‑flow forklarer mekanikken: en klient, som ikke kan vise en fuld browser, præsenterer brugeren for en kort kode og en URL; brugeren går til URL’en på sin egen enhed, logger ind og godkender; klienten poller autorisationsserveren og modtager herefter et access token og i mange tilfælde også et refresh token. Fordi godkendelsen sker på brugerens side, vil eventuelle MFA‑prompter ligeledes ske dér. Dokumentationen beskriver også, at access tokens typisk har kort levetid, og at tokens udstedes med de scopes, der er tilladt af politik og samtykke.

Det er væsentligt, at udstedelsens varighed og adfærd fornyes eller ophæves afhænger af tenantpolitikker og kontrolmekanismer. Microsofts dokumentation gør det klart, at token‑levetider og fornyelsesregler ikke er universelle, men påvirkes af konfiguration og anvendte kontroller. Derfor vil graden af “vedvarenhed” for et token variere mellem miljøer.

Hvad VentureBeat tilskriver CrowdStrike og FBI

Per VentureBeat giver et erobret token typisk adgang til Outlook, Teams og OneDrive, alt efter scopes, og det kræver ikke en ny MFA‑prompt på angriberens enhed, fordi godkendelsen allerede er givet på brugerens side under device‑code‑flowet. VentureBeat skriver desuden, at Kali365 kan købes for så lidt som 250 dollar om måneden via Telegram, og at FBI har udsendt en PSA om det. Vi baserer disse specifikke punkter på VentureBeats referat; selve FBI‑teksten er ikke gengivet her.

VentureBeats artikel sammenstiller også tendenserne fra CrowdStrike og Verizon og omtaler tre uafhængige kilder med samme strukturelle fund: at mange hændelser undgår klassisk password‑phishing og i stedet udnytter procestrin, token‑tildelinger og sårbarhedseksploitering. De konkrete procenter og rangeringer i sektorer er i vores gennemgang citeret via VentureBeat.

Banner
Supportarbejdsplads i bankens backoffice med headset‑holder, adgangsskakt og slørede procedurereferencer, i purpur/indigo med cyan accenter.

Begrænsninger og præciseringer

Vi har benyttet VentureBeat som sekundær kilde til flere tal og den beskrevne FBI‑PSA om Kali365. CrowdStrikes rapportside bekræfter udgivelsen af 2026‑rapporten for finans, men selve PDF’ens tabeller og eksakte procenter er ikke verificeret direkte her. Ligeledes er Verizons 2026‑DBIR‑procenter gengivet via VentureBeat. For mekanikken i device‑code‑flowet henviser vi til Microsofts dokumentation.

Placeholder

Hvor længe adgang varer, og hvor meget et enkelt token reelt giver adgang til, afhænger af scopes, token‑levetider og politik. Microsofts dokumentation beskriver variationen; derfor bør udsagn om “vedvarende adgang” forstås som betinget af konfiguration, ikke som et universelt resultat.

Hvad det kan betyde for finans

Hvis VentureBeats referater står til troende, retter fokus sig mod procedurer omkring nulstilling og enhedsregistrering i helpdesk, fordi netop de trin ifølge artiklen blev udnyttet i flere hændelser. Samtidig peger deres citat af Verizon på, at teknisk udnyttelse af sårbarheder fylder mere som første adgang end tidligere. Tilsammen indikerer det et dobbelt pres: både på proces og på teknisk hardening. Denne tolkning følger direkte af de mønstre, VentureBeat samler fra de nævnte kilder.

Uanset tolkning er det veldokumenteret i Microsofts materiale, at device‑code‑flowet i sig selv er legitimt og designet til enheder uden fuld browser. Misbrug opstår, når godkendelsen udløses hos en legitim bruger, mens en angriberstyret klient venter på tokenet. Det er præcis den asymmetri, VentureBeat beskriver, når de kobler social engineering mod support med efterfølgende token‑brug.

Kildeoverblik

VentureBeat er hovedkilden til de konkrete navne, hævdede tal og den beskrevne FBI‑PSA om Kali365. CrowdStrikes offentlige rapportside bekræfter, at en 2026‑sektorrapport for finans er udgivet. Microsofts dokumentation for OAuth 2.0 device‑code‑flow understøtter den tekniske gennemgang af login‑mekanikken, herunder at MFA‑prompter sker på brugerens enhed i dette flow og at token‑karakteristika afhænger af politik og konfiguration.

Vi anbefaler, at man ved videre brug af tallene henviser til den primære CrowdStrike‑rapport og Verizons 2026‑DBIR for de præcise tabeller og definitioner, samt at FBI’s PSA om Kali365 konsulteres i original form, hvis den er offentligt tilgængelig. Denne artikel holder sig til det, der kan tilskrives kilderne ovenfor.

Kilder

    Gør brugeroplevelsen bedre.
    Hvilket firma arbejder du for?