Хакеры научились входить в корпоративные аккаунты Microsoft без кражи паролей

изображение: grok
Новая фишинговая кампания обходится без похищения логинов и паролей. Мошенники применяют штатный механизм авторизации Microsoft и вынуждают пользователя самостоятельно подтвердить чужой доступ к рабочей учётной записи. Результатом становится полноценная работа посторонних лиц с почтой, облачным хранилищем и внутренними сервисами компании.
В «Лаборатории Касперского» сообщили «Газете.Ru», что злоумышленники эксплуатируют механизм Microsoft Device Authorization Grant, известный как Device Code Flow. Зафиксированная специалистами кампания продолжалась с начала апреля до середины мая 2026 года и маскировалась под переписку с юридической фирмой для формирования доверия у получателей писем.
Атака начиналась с электронного письма, содержавшего защищённый паролем PDF-документ. После открытия файла пользователю предлагали перейти по ссылке для ознакомления с материалами дела. Адрес относился к инфраструктуре Microsoft и внешне выглядел безупречно. Скрытая переадресация уводила человека на поддельную страницу, оформленную под сервис просмотра юридической документации.
После нескольких проверок CAPTCHA жертве предлагали скопировать заранее подготовленный одноразовый код. Дальше пользователь переходил на настоящую страницу Microsoft и вводил код для завершения многофакторной аутентификации. Собственными действиями человек подтверждал подключение мошенников к своей корпоративной учётной записи.
Получив токены активной сессии, преступники располагали широкими возможностями:
- читать входящую и исходящую электронную почту сотрудника;
- отправлять письма от его имени внутренним и внешним адресатам;
- открывать документы, хранящиеся в Microsoft OneDrive;
- получать доступ к рабочей переписке в Microsoft Teams.
Кража пароля в такой схеме вообще не требовалась. Эксперт по кибербезопасности «Лаборатории Касперского» Роман Деденок отметил, что современные атакующие всё реже полагаются на вредоносные программы или подбор учётных данных, отдавая предпочтение штатным возможностям популярных сервисов. По его словам, пользователям стоит внимательно относиться к любым действиям на официальных платформах, если они связаны с подтверждением входа или предоставлением стороннего доступа к корпоративным ресурсам.



