Фишинг через Microsoft: кража токенов и обход MFA

Злоумышленники все чаще используют инфраструктуру входа Microsoft для повышения эффективности фишинговых кампаний. По данным отчета, традиционный фишинг, нацеленный на кражу имен пользователей и паролей, постепенно уступает место более сложным схемам, ориентированным на перехват session information и tokens. Такой сдвиг стал особенно заметен на фоне широкого внедрения MFA, которое существенно осложнило прямую кражу учетных данных.

От паролей к токенам

Если раньше злоумышленникам было достаточно получить логин и пароль, то теперь они все чаще стремятся захватить данные, позволяющие сохранять доступ к учетной записи после прохождения аутентификации. В центре этой эволюции — Advanced Phishing Kits, в том числе Evilginx, использующие технику Adversary-in-the-Middle (AiTM).

Такие инструменты выступают посредниками между пользователем и легитимным сервисом. После завершения MFA они перехватывают session cookies, что позволяет злоумышленникам закрепляться в сессии без необходимости повторного ввода пароля.

PhaaS делает атаки доступнее

Отчет отдельно отмечает рост платформ Phishing-as-a-Service (PhaaS), таких как TeamTycoon. Этот формат снижает технический порог входа и делает сложные фишинговые схемы доступными для менее квалифицированных операторов.

• снижается необходимость в собственных технических разработках;
• ускоряется запуск кампаний;
• расширяется круг потенциальных злоумышленников;
• повышается масштабируемость атак.

OAuth как инструмент обхода защиты

Одним из наиболее заметных изменений в фишинговых тактиках стало использование легитимных OAuth authentication flows для обхода механизмов обнаружения. В таких кампаниях фишинговые письма нередко содержат ссылки на авторизационную конечную точку OAuth от Microsoft.

Поскольку переход осуществляется через репутационно надежный домен, такие ссылки могут обходить стандартные средства защиты, ориентированные на проверку URL. После перенаправления через инфраструктуру Microsoft жертва, сама того не подозревая, может передать данные на страницах, которые контролируются злоумышленниками и визуально имитируют легитимные ресурсы.

EvilToken и атаки на device authorization

Особого внимания заслуживает техника EvilToken, эксплуатирующая уязвимость в процессе Microsoft device authorization. Сценарий строится следующим образом: злоумышленник инициирует легитимный запрос на устройство, получает device code, а затем с помощью социальной инженерии убеждает жертву ввести этот код через фишинговое письмо или сообщение.

Когда пользователь проходит аутентификацию и завершает MFA, атакующий получает действительные access tokens и refresh tokens. Это дает возможность получить доступ к ресурсам в Microsoft 365 без традиционной кражи учетных данных.

Атаки на SSO и Microsoft Cloud Kerberos

Авторы отчета также указывают на атаки против данных аутентификации Single Sign-On (SSO), включая Microsoft Cloud Kerberos tokens. Это подтверждает, что злоумышленники продолжают адаптировать инструменты и методы, эксплуатируя легитимные сервисы как часть своей инфраструктуры атаки.

Тенденция указывает на сдвиг от кражи учетных данных к получению доверенных токенов.

Что это означает для защиты

Ключевой вывод отчета заключается в том, что защитные механизмы должны учитывать не только поддельные домены и очевидно вредоносные ссылки, но и случаи, когда сами легитимные процессы используются в злонамеренных целях. Внешнее сходство с доверенной инфраструктурой больше не является признаком безопасности.

Иными словами, современный фишинг все чаще маскируется под нормальную работу сервисов Microsoft, а значит, защита должна опираться не только на репутацию URL, но и на анализ поведения, контекста и признаков злоупотребления процессами аутентификации.