Kampanye 'Payroll Pirate' melibatkan email phishing yang menipu karyawan universitas untuk memasukkan kredensial di halaman login palsu yang meniru portal SDM mereka, seperti Workday. Penipu menggunakan taktik adversary-in-the-middle untuk mencegat kode autentikasi multi-faktor, memungkinkan mereka mengakses akun nyata meskipun ada langkah keamanan.

Setelah masuk, penyerang mengubah pengaturan penggajian untuk mengalihkan setoran langsung ke akun yang mereka kendalikan. Untuk menghindari deteksi, mereka membuat aturan email yang memblokir notifikasi otomatis Workday tentang perubahan ini. Dalam beberapa kasus, mereka menambahkan nomor telepon yang mereka kendalikan sebagai opsi pemulihan cadangan untuk akses berkelanjutan.

Microsoft melaporkan bahwa sejak Maret 2025, aktor ancaman telah membobol 11 akun di tiga universitas. Akun-akun ini digunakan untuk mengirim email phishing ke hampir 6.000 akun di 25 universitas. Umpan-umpan bervariasi: satu tema mengklaim paparan terhadap penyakit menular di kampus, dengan tautan untuk memeriksa status; yang lain menyebutkan perubahan terbaru dalam manfaat karyawan, yang mengarah ke halaman login yang disamarkan.

“Aktor ancaman menggunakan email phishing yang realistis, menargetkan akun di beberapa universitas, untuk menuai kredensial,” kata Microsoft dalam peringatannya.

Kampanye ini menyoroti kerentanan dalam metode autentikasi multi-faktor non-FIDO, seperti kode satu kali melalui email atau teks, yang rentan terhadap pencegatan. Microsoft merekomendasikan mengadopsi opsi yang sesuai dengan FIDO seperti passkey atau kunci keamanan fisik, mencatat tidak ada pelanggaran yang diketahui melalui metode ini. Pengguna juga harus secara berkala meninjau aturan penyaringan email untuk pemblokiran tidak sah pada peringatan keamanan.

Penipuan ini menekankan kebutuhan autentikasi yang kuat dalam sistem SDM cloud, terutama karena phishing berevolusi untuk menargetkan institusi pendidikan.