A vaga de ataques durou 30 dias, de agosto a setembro, e incluiu mais de 2700 tentativas de intrusão em 241 contas online. As contas em causa pertenciam a um candidato presidencial, ao seu staff, aos jornalistas a cobrir a campanha e a figuras iranianas a residir fora do Irão, denuncia a Microsoft. Os atacantes tentaram recolher informação biográfica e de hobbies das vítimas que lhes permitisse ativar resets de passwords e outros serviços de recuperação fornecidos pela empresa de Redmond.
«Embora os ataques não tenham sido tecnicamente sofisticados, os atacantes tentaram usar um volume significativo de informação pessoal para identificar as contas e, em alguns casos, tentar a intrusão (…) Este esforço sugere que os membros do Phosphorous estão altamente motivados e com vontade de investir bastante tempo e recursos na pesquisa e outras formas de recolha de dados», diz Tom Burt, vice-presidente da Microsoft para segurança do consumidor, citado pelo ArsTechnica. O executivo explica que os atacantes tentavam ganhar acesso a contas de email secundárias ligadas às contas Microsoft das vítimas, tentavam depois ganhar acesso a essa conta principal usando os mecanismos de verificação ligadas às contas secundárias.
Em julho, a empresa de Redmond tinha alertado que mais de dez mil utilizadores tinham sido vítimas de ataques de grupos a soldo de nações como o Irão, Rússia e Coreia do Sul. Destes, 84% dos ataques visaram utilizadores de grandes empresas.
A recomendação de segurança da Microsoft para evitar estes ataques passa por meios de autenticação de dois passos (two-step verification) onde são usadas chaves físicas, como as Yubikey, ou códigos temporários enviados para uma app de autenticação, para aceder às contas.
