Хакеры используют поддельную регистрацию Microsoft Entra Passkey для кражи учетных записей Microsoft 365

Хакеры используют поддельную регистрацию Microsoft Entra Passkey для кражи учетных записей Microsoft 365

изображение: grok

Аналитики Okta зафиксировали новую схему фишинга, где преступники подсовывают жертвам поддельную процедуру привязки Passkey к учётной записи Microsoft Entra. Пользователь думает, что усиливает защиту, а по факту привязывает к своему аккаунту чужой ключ доступа. После этого злоумышленник заходит в Microsoft 365 напрямую, без пароля и подтверждений.

Атака стартует с телефонного звонка. Оператор представляется сотрудником службы поддержки и уговаривает добавить новый Passkey «для повышения безопасности». Дальше жертву переводят на сайт, визуально почти неотличимый от настоящего интерфейса Microsoft. Активность отслеживается под меткой O-UNC-066 и уже задела компании из шести отраслей:

  • пищевая промышленность;
  • технологический сектор;
  • здравоохранение;
  • автомобильный бизнес;
  • строительство;
  • авиация.

Для работы преступники собрали фишинговый набор на PHP с админ-панелью, через которую оператор в реальном времени ведёт жертву по всем шагам. Исследователь Okta Хуссем Эддин Борджиба рассказал, что группа заранее регистрирует домены со словом passkey в названии, а потом обзванивает сотрудников выбранных организаций и подталкивает их к «регистрации нового ключа Microsoft Entra».

Отмечается, что схема появилась почти одновременно с массовым запуском Passkey от Microsoft. Компания разрешила администраторам подталкивать пользователей к переходу на новую аутентификацию, и преступники использовали эту официальную инициативу как прикрытие для социальной инженерии.

Отличие от классических AitM-атак принципиально. В прежних схемах воровали учётные данные и MFA-токены, а здесь оператор через PHP-панель подстраивается под конкретную MFA-конфигурацию компании. Жертве показывают ровно тот запрос, который она привыкла видеть, будь то SMS-код, одноразовый пароль из приложения или push с подтверждением числа.

Цепочка атаки состоит из нескольких страниц фейкового сайта:

  • страница /identify для ввода имени учётной записи;
  • страница /gate с экраном загрузки, пока набор проводит антианализ;
  • страница /password для ввода пароля, откуда данные сразу уходят оператору;
  • страница /processing, где жертва ждёт, пока оператор входит в настоящий портал Microsoft;
  • страница ввода MFA под конкретную схему организации.

После прохождения MFA включается вторая фаза. Пользователя перекидывают на /passkey/register, показывают экран с логотипом Microsoft и предлагают сохранить «ключ восстановления» для подтверждения регистрации Passkey. Следом жертву просят подтвердить последнее слово из предложенной фразы восстановления и показывают сообщение об успешной привязке ключа. В этот момент чужой Passkey уже прикреплён к учётной записи.

Хуссем Эддин Борджиба уточнил, что показанная последовательность из 12 слов внешне похожа на seed-фразы криптокошельков и работает как отвлекающий элемент. Пока пользователь возится с подтверждением слова, оператор спокойно дозавершает привязку своего ключа со стороны настоящего Microsoft.

Интересно, что рядовой пользователь в принципе не должен видеть веб-страницу при регистрации Passkey. В нормальной процедуре окно создания ключа рисует сама операционная система. В этой атаке никакого настоящего ключа на устройстве жертвы не создаётся, весь процесс имитируется браузером.

Эффективность схемы Okta объясняет низкой осведомлённостью пользователей о работе Passkey. Люди пока не научились отличать системный диалог от веб-имитации и охотно доверяют звонящему «из безопасности».

С апреля 2026 года группа O-UNC-066 также ведёт сайт утечек под названием Pink. В Palo Alto Networks Unit 42 ту же активность отслеживают под меткой CL-CRI-1147 и связывают с децентрализованным сообществом The Com, куда относят участников Scattered Spider, ShinyHunters и LAPSUS$.

Для российских пользователей и компаний угроза не абстрактная. Microsoft 365 остаётся рабочим инструментом у части отечественного бизнеса, у филиалов международных структур и у сотрудников, работающих с зарубежными подрядчиками. Схема социальной инженерии не привязана к конкретной юрисдикции и легко переводится на русский язык, а внедрение Passkey в российских сервисах идёт в том же направлении. Риски конкретные:

  • звонки от «поддержки Microsoft» на русском с уговорами привязать новый ключ;
  • фишинговые домены со словом passkey в кириллической или латинской транслитерации;
  • компрометация корпоративной почты и SharePoint через захваченные учётки;
  • использование украденных Microsoft 365 как точки входа в смежные российские сервисы через SSO;
  • попадание сотрудников в базы The Com с последующим давлением через сайт Pink.

Ранее сообщалось, что Microsoft пересмотрела рекомендации по установке обновлений Windows и призвала организации сократить срок развёртывания исправлений безопасности до одного дня. В компании объяснили это развитием искусственного интеллекта, который позволяет злоумышленникам быстро сравнивать старую и обновлённую версию кода, находить закрытую уязвимость и создавать рабочий эксплойт вскоре после выхода патча. По оценке Microsoft, прежний подход, при котором обновления устанавливали в течение нескольких недель, больше не обеспечивает достаточную защиту корпоративной инфраструктуры.

Экспертная редакция CISOCLUB считает, что атаки на Passkey стали закономерным продолжением гонки между вендорами и киберпреступниками. Пока крупные платформы продвигают беспарольные технологии как безопасное будущее, злоумышленники паразитируют ровно на этом маркетинговом импульсе. Российским компаниям стоит проводить обучение сотрудников до того, как Passkey войдёт в повседневный обиход, а не после первых инцидентов.

Отдельного внимания заслуживает контроль над списком привязанных ключей в Microsoft Entra и регулярный аудит журналов регистрации. Любой звонок с просьбой «добавить ключ по инструкции» должен восприниматься как повод для проверки через собственную службу ИБ. Технологии беспарольного входа работают только тогда, когда пользователь понимает, что именно он подтверждает.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: