Хакеры используют поддельную регистрацию Microsoft Entra Passkey для кражи учетных записей Microsoft 365

изображение: grok
Аналитики Okta зафиксировали новую схему фишинга, где преступники подсовывают жертвам поддельную процедуру привязки Passkey к учётной записи Microsoft Entra. Пользователь думает, что усиливает защиту, а по факту привязывает к своему аккаунту чужой ключ доступа. После этого злоумышленник заходит в Microsoft 365 напрямую, без пароля и подтверждений.
Атака стартует с телефонного звонка. Оператор представляется сотрудником службы поддержки и уговаривает добавить новый Passkey «для повышения безопасности». Дальше жертву переводят на сайт, визуально почти неотличимый от настоящего интерфейса Microsoft. Активность отслеживается под меткой O-UNC-066 и уже задела компании из шести отраслей:
- пищевая промышленность;
- технологический сектор;
- здравоохранение;
- автомобильный бизнес;
- строительство;
- авиация.
Для работы преступники собрали фишинговый набор на PHP с админ-панелью, через которую оператор в реальном времени ведёт жертву по всем шагам. Исследователь Okta Хуссем Эддин Борджиба рассказал, что группа заранее регистрирует домены со словом passkey в названии, а потом обзванивает сотрудников выбранных организаций и подталкивает их к «регистрации нового ключа Microsoft Entra».
Отмечается, что схема появилась почти одновременно с массовым запуском Passkey от Microsoft. Компания разрешила администраторам подталкивать пользователей к переходу на новую аутентификацию, и преступники использовали эту официальную инициативу как прикрытие для социальной инженерии.
Отличие от классических AitM-атак принципиально. В прежних схемах воровали учётные данные и MFA-токены, а здесь оператор через PHP-панель подстраивается под конкретную MFA-конфигурацию компании. Жертве показывают ровно тот запрос, который она привыкла видеть, будь то SMS-код, одноразовый пароль из приложения или push с подтверждением числа.
Цепочка атаки состоит из нескольких страниц фейкового сайта:
- страница /identify для ввода имени учётной записи;
- страница /gate с экраном загрузки, пока набор проводит антианализ;
- страница /password для ввода пароля, откуда данные сразу уходят оператору;
- страница /processing, где жертва ждёт, пока оператор входит в настоящий портал Microsoft;
- страница ввода MFA под конкретную схему организации.
После прохождения MFA включается вторая фаза. Пользователя перекидывают на /passkey/register, показывают экран с логотипом Microsoft и предлагают сохранить «ключ восстановления» для подтверждения регистрации Passkey. Следом жертву просят подтвердить последнее слово из предложенной фразы восстановления и показывают сообщение об успешной привязке ключа. В этот момент чужой Passkey уже прикреплён к учётной записи.
Хуссем Эддин Борджиба уточнил, что показанная последовательность из 12 слов внешне похожа на seed-фразы криптокошельков и работает как отвлекающий элемент. Пока пользователь возится с подтверждением слова, оператор спокойно дозавершает привязку своего ключа со стороны настоящего Microsoft.
Интересно, что рядовой пользователь в принципе не должен видеть веб-страницу при регистрации Passkey. В нормальной процедуре окно создания ключа рисует сама операционная система. В этой атаке никакого настоящего ключа на устройстве жертвы не создаётся, весь процесс имитируется браузером.
Эффективность схемы Okta объясняет низкой осведомлённостью пользователей о работе Passkey. Люди пока не научились отличать системный диалог от веб-имитации и охотно доверяют звонящему «из безопасности».
С апреля 2026 года группа O-UNC-066 также ведёт сайт утечек под названием Pink. В Palo Alto Networks Unit 42 ту же активность отслеживают под меткой CL-CRI-1147 и связывают с децентрализованным сообществом The Com, куда относят участников Scattered Spider, ShinyHunters и LAPSUS$.
Для российских пользователей и компаний угроза не абстрактная. Microsoft 365 остаётся рабочим инструментом у части отечественного бизнеса, у филиалов международных структур и у сотрудников, работающих с зарубежными подрядчиками. Схема социальной инженерии не привязана к конкретной юрисдикции и легко переводится на русский язык, а внедрение Passkey в российских сервисах идёт в том же направлении. Риски конкретные:
- звонки от «поддержки Microsoft» на русском с уговорами привязать новый ключ;
- фишинговые домены со словом passkey в кириллической или латинской транслитерации;
- компрометация корпоративной почты и SharePoint через захваченные учётки;
- использование украденных Microsoft 365 как точки входа в смежные российские сервисы через SSO;
- попадание сотрудников в базы The Com с последующим давлением через сайт Pink.
Ранее сообщалось, что Microsoft пересмотрела рекомендации по установке обновлений Windows и призвала организации сократить срок развёртывания исправлений безопасности до одного дня. В компании объяснили это развитием искусственного интеллекта, который позволяет злоумышленникам быстро сравнивать старую и обновлённую версию кода, находить закрытую уязвимость и создавать рабочий эксплойт вскоре после выхода патча. По оценке Microsoft, прежний подход, при котором обновления устанавливали в течение нескольких недель, больше не обеспечивает достаточную защиту корпоративной инфраструктуры.
Экспертная редакция CISOCLUB считает, что атаки на Passkey стали закономерным продолжением гонки между вендорами и киберпреступниками. Пока крупные платформы продвигают беспарольные технологии как безопасное будущее, злоумышленники паразитируют ровно на этом маркетинговом импульсе. Российским компаниям стоит проводить обучение сотрудников до того, как Passkey войдёт в повседневный обиход, а не после первых инцидентов.
Отдельного внимания заслуживает контроль над списком привязанных ключей в Microsoft Entra и регулярный аудит журналов регистрации. Любой звонок с просьбой «добавить ключ по инструкции» должен восприниматься как повод для проверки через собственную службу ИБ. Технологии беспарольного входа работают только тогда, когда пользователь понимает, что именно он подтверждает.



