СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
20.06.2025
#Dev#ИБ#Облака

Фишинг по коду устройства: новая угроза безопасности OAuth 2.0

Фишинг по коду устройства: новая угроза безопасности OAuth 2.0

Источник: www.praetorian.com

Современные кибератаки становятся всё более изощрёнными — исследователи выявили новую разновидность фишинга, которая использует механизмы аутентификации по коду устройства (Device Code) в рамках протокола OAuth 2.0 Device Authorization Grant (RFC 8628). Этот метод, изначально разработанный для удобной авторизации на устройствах с ограниченными возможностями ввода, стал инструментом злоумышленников для получения долгосрочного и несанкционированного доступа к таким системам, как GitHub и Azure Active Directory.

Что такое фишинг с использованием кода устройства?

В отличие от традиционного фишинга, где злоумышленники пытаются выведать пароль или другую конфиденциальную информацию напрямую, этот метод основан на эксплуатации легитимных возможностей протокола OAuth 2.0. Атаки основаны на перехвате и использовании кода устройства, благодаря чему злоумышленники могут получить авторизационные токены без фактического ввода имени пользователя и пароля.

Особенности такого фишинга:

  • Использование официальных механизмов аутентификации обеспечивает долгосрочный доступ.
  • Применение легитимных идентификаторов клиентов, например, Visual Studio Code, для снижения подозрений у пользователей.
  • Возможность обхода традиционных механизмов защиты и обнаружения.

GitHub в центре внимания злоумышленников

По результатам последних исследований, GitHub всё активнее становится целью подобных атак — это закономерно, учитывая его ключевую роль в современной разработке и управлении цепочками поставок программного обеспечения. Значимые инциденты уже зафиксированы в крупных организациях, что усиливает тревогу по поводу масштабирования угрозы.

Злоумышленники применяют разнообразные тактики социальной инженерии, среди которых:

  • звонки разработчикам от имени сотрудников технической поддержки;
  • выдача себя за представителей известных сервисов.

Такие методы основываются на доверии, которое традиционно испытывают сотрудники к коллегам и внутренним службам, что существенно повышает эффективность атак.

Инструменты и техники злоумышленников

Для автоматизации процесса атаки создан специально разработанный инструмент GitPhish. Он предоставляет:

  • динамическую генерацию кодов устройств в реальном времени для предотвращения проблем с истечением срока действия;
  • размещение фишинговых страниц непосредственно на платформах GitHub, которые выглядят легитимно и вызывают гораздо меньше подозрений у жертв.

Кроме того, успешные атаки могут распространяться через скомпрометированные конечные точки, передающие поток кодов устройства, что обеспечивает горизонтальное перемещение злоумышленников внутри корпоративной сети.

Рекомендации по защите от фишинга с кодом устройства

Для эффективной защиты организаций от новых угроз безопасности специалисты рекомендуют принять следующие меры:

  • Внедрение белых списков IP-адресов, с которых разрешён доступ к GitHub.
  • Ограничение доступа к конечной точке входа устройства на GitHub на сетевом уровне.
  • Мониторинг журналов аудита для выявления аномалий и подозрительных схем доступа.
  • Регулярная проверка и пересмотр разрешений, предоставленных токенам, с особым вниманием к правам администратора и доступа к репозиториям.
  • Разработка и отработка планов реагирования на инциденты, связанные с компрометацией кода устройства.

Важно учитывать, что чрезмерное ограничение доступа может негативно повлиять на стандартные бизнес-процессы и работу разработчиков на GitHub. Поэтому баланс между безопасностью и функциональностью должен быть тщательно выверен.

Выводы

Рост популярности аутентификации по коду устройства одновременно открыл новые возможности для злоумышленников. Фишинг с использованием кода устройства становится всё более распространённой тактикой, особенно в корпоративной среде с критическими зависимостями от GitHub и Azure AD. Для минимизации рисков организациям необходима постоянная бдительность, обновление протоколов безопасности и адаптация к новым методам атак.

Только комплексный подход и своевременные меры позволят защитить важные цифровые активы от угроз, базирующихся на использовании легитимных, но уязвимых механизмов аутентификации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: