Kampanjen 'Payroll Pirate' involverar phishing-mejl som lurar universitetsanställda att ange uppgifter på falska inloggningssidor som efterliknar deras HR-portaler, såsom Workday. Bedragare använder motståndare-i-mitten-taktiker för att fånga multifaktorautentiseringskoder, vilket gör det möjligt för dem att komma åt riktiga konton trots säkerhetsåtgärder.

När de är inne ändrar angripare löneinställningar för att omdirigera direktinsättningar till konton de kontrollerar. För att undvika upptäckt skapar de e-postregler som blockerar Workdays automatiska meddelanden om dessa ändringar. I vissa fall lägger de till ett telefonnummer de kontrollerar som en backup-återställningsoption för ihållande åtkomst.

Microsoft rapporterade att sedan mars 2025 har hotaktörer komprometterat 11 konton vid tre universitet. Dessa användes för att skicka phishing-mejl till nästan 6 000 konton vid 25 universitet. Lockbetena varierar: ett tema påstår exponering för en smittsam sjukdom på campus, med en länk för att kontrollera status; ett annat nämner senaste ändringar i anställdas förmåner, som leder till en maskerad inloggningssida.

"Hotaktören använde realistiska phishing-mejl, riktade mot konton vid flera universitet, för att skörda uppgifter," uppgav Microsoft i sin varning.

Kampanjen belyser sårbarheter i icke-FIDO multifaktorautentiseringsmetoder, såsom engångskoder via e-post eller SMS, som är mottagliga för avlyssning. Microsoft rekommenderar att införa FIDO-kompatibla alternativ som passkeys eller fysiska säkerhetsnycklar, och noterar att inga kända intrång skett via dessa metoder. Användare bör också periodvis granska e-postfiltreringsregler för obehöriga blockeringar av säkerhetsvarningar.

Denna bedrägeri understryker behovet av robust autentisering i molnbaserade HR-system, särskilt när phishing utvecklas för att rikta sig mot utbildningsinstitutioner.