Predstavte si, že vám príde e-mail od HR oddelenia: PDF príloha s názvom „Disciplinárne konanie – porušenie kódexu správania". Pokyny hovoria, aby ste sa prihlásili a preskúmali spis. Urobíte to. A práve v tej chvíli odovzdáte útočníkovi plný prístup k svojmu Microsoft 365 účtu – aj keď máte zapnutú dvojfaktorovú autentifikáciu.
Toto nie je hypotetický scenár. V apríli 2026 odhalil Microsoft rozsiahlu phishingovú kampaň, ktorá takýmto spôsobom kompromitovala viac ako 35 000 účtov v 26 krajinách sveta.
Čo sa vlastne stalo?
Útočníci rozoslali tisíce e-mailov s PDF prílohou napodobňujúcou interný HR dokument – upozornenie na porušenie kódexu správania zamestnanca. PDF obsahovalo odkaz na „preskúmanie spisu". Po kliknutí sa objavila overovacia CAPTCHA stránka na doméne útočníka a potom – zdanlivo – skutočná prihlasovacia stránka Microsoftu.
Skutočnosť bola však iná: útočník stál uprostred komunikácie ako AiTM proxy (Adversary-in-the-Middle). Keď sa obeť prihlásila a potvrdila druhý faktor (SMS, aplikácia), útočník v reálnom čase zachytil autentifikačný token. Heslo ani kód zo smartfónu mu stačiť nemuseli – získal kľúč priamo od Microsoftu.
Prečo nestačí dvojfaktorová autentifikácia?
Klasické MFA (SMS alebo aplikácia) chráni pred tým, že útočník ukradne vaše heslo. Nechráni však pred situáciou, keď sa sám prihlasujete cez falošnú stránku, ktorá vašu reláciu „preposiela" útočníkovi. Ten dostane platný session token – a s ním prístup k vášmu Outlooku, OneDrivu, Teams či firemným súborom.
Jedinou účinnou ochranou pred AiTM útokmi sú phishing-rezistentné metódy autentifikácie – napríklad FIDO2 bezpečnostné kľúče (YubiKey) alebo Windows Hello for Business, kde token nie je možné presmerovať na inú doménu.
Ako spoznáte takýto útok?
Niekoľko varovných signálov, na ktoré si treba dávať pozor:
- E-mail tvrdí, že ide o naliehavú HR záležitosť – disciplinárne konanie, porušenie predpisov, audit dochádzky. Útočníci cielene vyvolávajú stres, aby ste klikli bez premýšľania.
- PDF príloha obsahuje len odkaz – skutočné HR dokumenty zvyčajne obsahujú samotný obsah, nie len tlačidlo „Prihláste sa tu".
- Doména prihlasovacieho formulára nie je login.microsoft.com – pred zadaním hesla vždy skontrolujte adresný riadok prehliadača.
- Neočakávaná MFA výzva – ak dostanete žiadosť o overenie bez toho, že by ste sa práve prihlasovali, niekomu ste mohli poskytnúť heslo.
Čo urobiť vo firme čo najskôr?
Aj bez okamžitej migrácie na FIDO2 kľúče môžete výrazne znížiť riziko:
- Zapnite Conditional Access v Microsoft 365 – obmedzte prístup len z firemných zariadení alebo dôveryhodných lokalít. Útočník so získaným tokenom z cudzej IP narazí na ďalšiu prekážku.
- Aktivujte Microsoft Defender for Office 365 – obsahuje funkcie na detekciu phishingových URL priamo v e-mailoch a PDF prílohách.
- Vzdelávajte zamestnancov – simulované phishingové testy ukázali, že po jednom tréningu klesá miera kliknutí na podvodné odkazy o viac ako 70 %.
- Skontrolujte audit logy – v Microsoft 365 Defender vidíte, či sa niekto neprihlásil z neznámej krajiny alebo zariadenia.
Ak si nie ste istí, aké nastavenia máte v Microsoft 365 aktívne, alebo ak chcete preveriť bezpečnostnú konfiguráciu vašej firemnej IT infraštruktúry, napíšte nám na info@sycom.sk. Naši špecialisti vám pripravia bezplatný bezpečnostný audit a navrhnú opatrenia priamo na mieru vašej firme.