«Лаборатория Касперского» предупредила о фишинговой кампании, злоупотребляющей механизмом авторизации Microsoft

Эксперты «Лаборатории Касперского» обнаружили фишинговую кампанию, в которой злоумышленники используют механизм авторизации Microsoft — Device Authorization Grant (Device Code Flow). Атака наблюдалась с начала апреля по середину мая 2026 года и была стилизована под уведомления от юридической фирмы. Её цель — получение токенов учётной записи жертвы для последующей компрометации корпоративных данных.
В чём суть. Механизм Device Authorization Grant предназначен для авторизации на устройствах с ограниченными возможностями ввода, например умных телевизоров, IoT-девайсов или принтеров. Для входа в учётную запись пользователь использует другое устройство — смартфон или компьютер, где вводит одноразовый код или сканирует QR-код для подтверждения авторизации. Однако этот же механизм может использоваться злоумышленниками для компрометации учётных записей.
В ходе атаки пользователи получали письма якобы от юридической фирмы с приложенным PDF-файлом, защищённым паролем. После открытия документа и ввода пароля пользователь видел страницу со списком документов, однако для их просмотра требовалось перейти по ссылке. Она вела на легитимный адрес Microsoft, однако использовала механизм переадресации, который перенаправлял пользователя на фишинговый ресурс, имитирующий портал для просмотра юридических документов.

Ссылка в документе перенаправляет пользователя с платформы Microsoft на фишинговую страницу, имитирующую портал для просмотра юридических документов

Фишинговая страница
После прохождения нескольких CAPTCHA пользователю предлагалось скопировать одноразовый код, заранее сгенерированный злоумышленниками при запуске процесса авторизации. Затем пользователь перенаправлялся на официальную страницу Microsoft для ввода этого кода и завершал процесс многофакторной аутентификации, тем самым подтверждая доступ злоумышленников к своей учётной записи.

Одноразовый код на фишинговой странице

Перенаправление на официальную страницу аутентификации Microsoft
Получив токены текущей сессии, злоумышленники могли читать переписку жертвы и отправлять письма от её имени, получать доступ к файлам в Microsoft OneDrive и просматривать чаты в Microsoft Teams.
«Злоумышленники не всегда используют вредоносное ПО или крадут логины и пароли для получения доступа к конфиденциальной информации — всё чаще они злоупотребляют легитимными инструментами и механизмами авторизации. Поэтому пользователям необходимо проявлять бдительность не только при посещении подозрительных сайтов, но и при работе с официальными платформами, — говорит Роман Деденок, эксперт по кибербезопасности в „Лаборатории Касперского“. — Организациям стоит проанализировать, действительно ли Device Code Flow необходимо использовать в корпоративной инфраструктуре, и, если этот сценарий не используется в бизнес-процессах, отключить его».
Дополнительную защиту от атак такого рода помогут обеспечить надёжные решения для защиты электронной почты, гарантирующие безопасность корпоративной и личной переписки.
Ранее эксперты «Лаборатории Касперского» также фиксировали фишинговые кампании, злоупотреблявшие возможностями Google Tasks, Google Forms, Bubble и Amazon Simple Email Service.
Подробнее о фишинговой кампании можно прочитать на сайте Securelist.



