Фишинг с кодом устройства поразил более 340 организаций Microsoft 365 в пяти странах через злоупотребление OAuth
27.03.2026
9895
Фишинг с кодом устройства нацелен на более чем 340 организаций Microsoft 365 с февраля 2026 года через злоупотребление OAuth, что позволяет осуществлять постоянный захват токенов и захват учетных записей.
Фишинг с кодом устройства поразил более 340 организаций Microsoft 365 в пяти странах через злоупотребление OAuth
Подождите — масштабная кампания фишинга с кодом устройства только что поразила более 340 организаций Microsoft 365 в пяти странах с февраля 2026 года. Это не обычное фишинговое письмо — это сложная операция по злоупотреблению OAuth, которая захватывает токены аутентификации для постоянного захвата учетных записей.
Атака использует поток кода устройства Microsoft — вы знаете, эту штуку 'введите этот код на microsoft.com/devicelogin' для аутентификации IoT и CLI. Злоумышленники используют его, чтобы обойти MFA и получить долгоживущие токены OAuth, предоставляя им скрытый, постоянный доступ к корпоративным учетным записям.
Вот пошаговый план: злоумышленники отправляют фишинговые письма с поддельной страницей входа Microsoft. Когда жертвы вводят учетные данные, страница запускает запрос кода устройства. Жертва получает законное приглашение Microsoft ввести код на microsoft.com/devicelogin — но злоумышленник уже имеет код и может аутентифицироваться со своего устройства, захватывая токены OAuth, которые действуют в течение часов или дней.
- • Цели: более 340 организаций Microsoft 365 в пяти странах
- • Временные рамки: активно с февраля 2026 года
- • Техника: фишинг с кодом устройства через злоупотребление OAuth
- • Влияние: постоянный захват токенов, захват учетных записей, извлечение данных
- • Обход: многофакторная аутентификация (MFA)
Это следующий уровень устойчивости — как только у них есть эти токены OAuth, злоумышленники могут получать доступ к электронной почте, SharePoint, Teams и другим службам M365 без необходимости снова вводить пароли. Это как дать им мастер-ключ к вашему цифровому офису.
Кампания показывает, как злоумышленники развиваются за пределами подбора учетных данных, чтобы эксплуатировать сами протоколы аутентификации. Злоупотребление OAuth становится новым рубежом для корпоративных атак — и поток кода устройства Microsoft — это всего лишь последний вектор.
Защитникам необходимо отслеживать подозрительные аутентификации с кодом устройства, регулярно проверять разрешения приложений OAuth и обучать пользователей этому новому варианту фишинга. Потому что когда злоумышленники могут обойти MFA с помощью простого ввода кода, традиционные сценарии безопасности нуждаются в серьезном обновлении.
#MFA#Microsoft 365 атаки#OAuth безопасность#фишинг#фишинг с кодом устройства
Есть тема? Пишите ATLA WIRE в Telegram:t.me/atla_community
