Фишинг с кодом устройства атакует Microsoft 365 и OAuth 2.0

Фишинг с использованием code устройства быстро превратился в одну из заметных киберугроз, вытесняя традиционные сценарии кражи учетных данных. Причина проста: организации все активнее усиливают защиту от привычных атак, включая фишинг, нацеленный на MFA, и злоумышленники вынуждены адаптироваться. В результате они сместили фокус на потоки авторизации devices, прежде всего в среде Microsoft 365, а в меньшей степени — на учетные записи Google через OAuth 2.0.

Рост угрозы и роль PhaaS

Недавний всплеск активности в этой сфере связан не только с изменением тактики злоумышленников, но и с появлением новых инструментов, доступных на criminal market. В частности, росту атак способствовали публично доступные наборы и предложения phishing as a service (PhaaS), включая EvilTokens и Tycoon.

Эти платформы позволяют упростить и масштабировать атаки: злоумышленники быстрее создают и управляют вредоносными application, которые запрашивают доступ к пользовательским учетным записям. По сути, фишинг становится более «промышленным» и менее требовательным к технической квалификации исполнителей.

Как работает схема

Современные кампании с использованием code устройства чаще всего опираются на технику, известную как compromised account jump. Сначала злоумышленники компрометируют одну корпоративную или почтовую учетную запись, а затем используют ее для массовой рассылки фишинговых ссылок уже от имени доверенного отправителя.

Ключевое изменение в этих атаках — динамическая генерация кода устройства в момент взаимодействия пользователя с фишинговой ссылкой. Это снимает прежнее ограничение, связанное с коротким сроком действия кода, и делает кампании заметно эффективнее.

Когда жертва вводит код на доверенной платформе, например в legitimate portal Microsoft authentication, злоумышленники получают возможность перехватить authentication tokens.

Методы приманки

В недавних кампаниях применялись разные способы вовлечения жертв. Наиболее распространенные из них:

• электронные письма с вложениями;
• QR-коды, ведущие на фишинговые целевые страницы;
• сообщения, имитирующие легитимную деловую переписку;
• поддельные страницы с уникальным code устройства для ввода в интерфейсе authentication devices Microsoft.

Именно на таких страницах пользователю предлагают ввести сгенерированный код, что внешне выглядит как стандартная процедура проверки. На практике же это помогает атакующим получить доступ к учетной записи и связанным с ней данным.

Последствия для организаций

Успешная атака может привести к серьезным последствиям, включая:

• захват учетных записей;
• кражу конфиденциальной информации;
• компрометацию корпоративной среды;
• дальнейшее распространение фишинга внутри организации.

Особую опасность представляет то, что злоумышленники используют уже скомпрометированные ящики как точку опоры для дальнейшего «распространения» атаки. Это повышает доверие к письмам и увеличивает вероятность того, что новые адресаты откроют вредоносную ссылку.

Новые векторы и международный масштаб

Исследования показывают, что наборы для фишинга с использованием code устройства имеют сходство с существующими PhaaS-платформами, но при этом сохраняют и собственные особенности, связанные с operational setup.

В качестве примера аналитики называют actor TA4903, который сместился от традиционных методов компрометации business email к преимущественному использованию device code phishing. Его сообщения выглядят достаточно правдоподобно, чтобы вынудить пользователей ввести credentials.

При этом угроза не ограничивается англоязычной средой. Кампании фиксировались на разных языках и были рассчитаны на global audience, что подтверждает гибкость и масштабируемость этой модели атак.

Что это означает для киберзащиты

Фишинг с использованием code устройства демонстрирует, как быстро киберпреступники адаптируются к усилению защитных механизмов. Если раньше основной целью были учетные данные и обход MFA, то теперь акцент сместился на уязвимости пользовательского поведения и доверие к legitimate authentication portals.

Главный вывод заключается в том, что защита от подобных атак требует не только технических средств контроля, но и постоянного обучения сотрудников: именно на этапе ввода кода злоумышленники получают доступ к наиболее ценным ресурсам.