Фишинг через аутентификацию устройств Microsoft

Недавний рост фишинговых атак, нацеленных на аутентификацию устройств, показал, насколько опасными могут быть злоумышленники, когда они используют device authentication поток Microsoft вместо прямой кражи паролей. Такой подход позволяет обходить традиционные методы обнаружения кражи учетных данных и добиваться полной компрометации учетной записи в рамках доверенной сессии.

Как работает схема

В типичной атаке злоумышленник отправляет фишинговое письмо, имитирующее доверенный сервис, например уведомление о безопасности от Microsoft. В сообщении могут использоваться провокационные темы, включая «Требуется подтверждение уведомления о повышении зарплаты с сегодняшнего дня», чтобы заставить пользователя перейти по ссылке или отсканировать QR-код, ведущий на вредоносный сайт.

Особую эффективность такой подход получает за счет QR-кодов. Пользователи чаще сканируют их с мобильных устройств, которые нередко защищены слабее корпоративных рабочих станций и хуже контролируются организационными средствами защиты.

Подмена легитимной аутентификации

После перехода по фишинговой ссылке пользователя перенаправляют на веб-страницу, где отображается code device, выдаваемый за legitimate login code. Бэкенд-логика фишингового сайта запрашивает временный code device у заранее определённого сервера; такой код действителен только 15 минут, что позволяет злоумышленникам генерировать его практически в реальном времени.

Для этого могут использоваться и команды в PowerShell, например:

Connect-MgGraph -Scopes User.Read -UseDeviceAuthentication

Фишинговая веб-страница затем направляет жертву на аутентификацию через legitimate Microsoft login domain. Внешне процесс выглядит безопасным и привычным, поскольку проходит в доверенной среде. Именно это и делает атаку особенно опасной: она опирается не на техническую уязвимость, а на доверие пользователя к знакомому интерфейсу.

Чем это грозит организациям

После успешной аутентификации злоумышленник получает доступ к учетной записи пользователя и может выполнять любые разрешенные действия от его имени. Это открывает путь к:

• получению конфиденциальной информации;
• эксфильтрации данных;
• дальнейшим атакам внутри организации;
• внутреннему фишингу с использованием уже скомпрометированной учетной записи.

Дополнительную опасность представляет сохранение постоянного присутствия через refresh tokens, что позволяет злоумышленникам продолжать перемещение внутри компании даже после первоначального инцидента.

Кампания, затронувшая разные профессии

В ходе недавней кампании, начавшейся в марте 2026 года, этот метод фишинга затронул широкий спектр специалистов, включая юристов, developers, врачей и представителей других профессий. По имеющимся данным, были скомпрометированы как минимум двенадцать учетных записей.

Это демонстрирует, что подобные атаки не ограничиваются одной отраслью или типом сотрудников. Напротив, они используют универсальные психологические приемы и доверие к знакомым сервисам.

Почему традиционной защиты уже недостаточно

Эволюция таких фишинговых тактик показывает: организациям требуется стратегический переход к security, ориентированной на identity. Старые подходы, основанные преимущественно на проверке паролей и распознавании очевидного фишинга, уже не обеспечивают достаточного уровня защиты.

Эксперты по кибербезопасности подчеркивают, что компании должны постоянно проверять действия пользователей и сохранять бдительность в отношении атак, использующих legitimate authentication flows. Только сочетание контроля идентичности, мониторинга поведения и многоуровневой защиты позволяет снизить риск компрометации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.