«Лаборатория Касперского» предупредила о фишинговой кампании, злоупотребляющей механизмом авторизации Microsoft

«Лаборатория Касперского» предупредила о фишинговой кампании, злоупотребляющей механизмом авторизации Microsoft

Эксперты «Лаборатории Касперского» обнаружили фишинговую кампанию, в которой злоумышленники используют механизм авторизации Microsoft — Device Authorization Grant (Device Code Flow). Атака наблюдалась с начала апреля по середину мая 2026 года и была стилизована под уведомления от юридической фирмы. Её цель — получение токенов учётной записи жертвы для последующей компрометации корпоративных данных.

В чём суть. Механизм Device Authorization Grant предназначен для авторизации на устройствах с ограниченными возможностями ввода, например умных телевизоров, IoT-девайсов или принтеров. Для входа в учётную запись пользователь использует другое устройство — смартфон или компьютер, где вводит одноразовый код или сканирует QR-код для подтверждения авторизации. Однако этот же механизм может использоваться злоумышленниками для компрометации учётных записей.

В ходе атаки пользователи получали письма якобы от юридической фирмы с приложенным PDF-файлом, защищённым паролем. После открытия документа и ввода пароля пользователь видел страницу со списком документов, однако для их просмотра требовалось перейти по ссылке. Она вела на легитимный адрес Microsoft, однако использовала механизм переадресации, который перенаправлял пользователя на фишинговый ресурс, имитирующий портал для просмотра юридических документов.

Ссылка в документе перенаправляет пользователя с платформы Microsoft на фишинговую страницу, имитирующую портал для просмотра юридических документов

 

Фишинговая страница

После прохождения нескольких CAPTCHA пользователю предлагалось скопировать одноразовый код, заранее сгенерированный злоумышленниками при запуске процесса авторизации. Затем пользователь перенаправлялся на официальную страницу Microsoft для ввода этого кода и завершал процесс многофакторной аутентификации, тем самым подтверждая доступ злоумышленников к своей учётной записи.

Одноразовый код на фишинговой странице

Перенаправление на официальную страницу аутентификации Microsoft

Получив токены текущей сессии, злоумышленники могли читать переписку жертвы и отправлять письма от её имени, получать доступ к файлам в Microsoft OneDrive и просматривать чаты в Microsoft Teams.

«Злоумышленники не всегда используют вредоносное ПО или крадут логины и пароли для получения доступа к конфиденциальной информации — всё чаще они злоупотребляют легитимными инструментами и механизмами авторизации. Поэтому пользователям необходимо проявлять бдительность не только при посещении подозрительных сайтов, но и при работе с официальными платформами, — говорит Роман Деденок, эксперт по кибербезопасности в „Лаборатории Касперского“. — Организациям стоит проанализировать, действительно ли Device Code Flow необходимо использовать в корпоративной инфраструктуре, и, если этот сценарий не используется в бизнес-процессах, отключить его».

Дополнительную защиту от атак такого рода помогут обеспечить надёжные решения для защиты электронной почты, гарантирующие безопасность корпоративной и личной переписки.

Ранее эксперты «Лаборатории Касперского» также фиксировали фишинговые кампании, злоупотреблявшие возможностями Google Tasks, Google Forms, Bubble и Amazon Simple Email Service.

Подробнее о фишинговой кампании можно прочитать на сайте Securelist.

 

 

 

 

Оцените новость

  • Ваша оценка
Итоги:
Проголосовало людей: 0

Оставить комментарий

Ваш e-mail не будет опубликован. Поля обязательны для заполненеия - *

  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent
Кликните на изображение чтобы обновить код, если он неразборчив

Актуальные новости

Логотип

О портале

Новостной портал Казахстана, только свежие новости со всего мира!

© 2024 INFOZAKON. Все права защищены.

×