「Payroll Pirate」キャンペーンは、大学職員を騙してHRポータル（例: Workday）を模倣した偽のログインページに認証情報を入力させるフィッシングメールを含みます。詐欺師は、中間者攻撃の戦術を使用して多要素認証コードを傍受し、セキュリティ対策にもかかわらず実際のアカウントにアクセスできるようにします。

内部に侵入すると、攻撃者は給与設定を変更して直接入金を自分たちが制御するアカウントに振り向けます。検知を避けるため、Workdayのこれらの変更に関する自動通知をブロックするメールルールを作成します。一部のケースでは、持続的なアクセスを確保するために、自分たちが制御する電話番号をバックアップ回復オプションとして追加します。

マイクロソフトは、2025年3月以来、脅威アクターが3つの大学で11のアカウントを侵害したと報告しました。これらのアカウントは、25の大学にまたがる約6,000のアカウントにフィッシングメールを送信するために使用されました。誘導は多岐にわたり：1つはキャンパスでの伝染病曝露を主張し、ステータス確認リンクを提供；もう1つは従業員福利厚生の最近の変更を言及し、変装したログインページに誘導します。

「脅威アクターは、複数の大学の口座を標的にした現実的なフィッシングメールを使用して認証情報を収集しました」とマイクロソフトは勧告で述べています。

このキャンペーンは、メールやテキストによるワンタイムコードなどの非FIDO多要素認証方法の脆弱性を強調しており、これらは傍受されやすいものです。マイクロソフトは、パスキーや物理セキュリティキーなどのFIDO準拠オプションの採用を推奨し、これらの方法による既知の侵害はないと指摘しています。ユーザーはまた、セキュリティアラートの不正ブロックを検知するために、メールフィルタリングルールを定期的に確認すべきです。

この詐欺は、フィッシングが教育機関を標的に進化する中、クラウドHRシステムにおける堅牢な認証の必要性を強調しています。