Хакеры обленились – теперь они просят вас самих впустить их в аккаунт (и вы соглашаетесь)
NewsMakerАтакующие научились угонять Microsoft 365 через настоящую страницу Microsoft — достаточно, чтобы вы ввели «одноразовый» код.
Proofpoint предупреждает о всплеске фишинговых атак, в которых злоумышленники уводят корпоративные аккаунты Microsoft 365 не через поддельный логин, а через вполне легитимный механизм OAuth — авторизацию по коду устройства. Жертву убеждают ввести «одноразовый код» на настоящем сайте Microsoft, и в результате атакующие получают токен доступа, который открывает путь к захвату учетной записи, выгрузке данных и дальнейшим действиям внутри организации.
Специалисты отслеживают сразу несколько кластеров — от финансово мотивированных до связанных с государствами, — которые используют разные варианты социальной инженерии, чтобы заставить пользователя «подтвердить» доступ для приложений через OAuth 2.0 device authorization grant flow. Схема обычно начинается с письма, где ссылка спрятана за кнопкой, гиперссылкой или QR-кодом. Переход запускает цепочку с официальным процессом Microsoft: пользователю показывают device code — прямо на странице или во втором письме от атакующих — и объясняют, что это якобы OTP для «усиленной проверки» или «переавторизации токена». Дальше жертву направляют на доверенный портал проверки Microsoft и просят ввести код, после чего исходный токен подтверждается и доступ уходит злоумышленникам.
Proofpoint отмечает, что сама техника не новая и ранее встречалась в точечных атаках и ограниченной «красной команде», но к сентябрю 2025 года они увидели необычно массовые кампании с таким подходом. Дополнительный фактор — появление инструментов и готовых компонентов, которые помогают атакующим масштабировать рассылки, несмотря на то что коды устройства живут недолго. Среди таких инструментов исследователи описывают SquarePhish2 — развитие SquarePhish, впервые опубликованного в 2022 году, а затем обновленного варианта, который в 2024 году появился на GitHub у независимого исследователя.
SquarePhish2 делает атаку похожей на привычную для пользователя процедуру настройки многофакторной аутентификации: письмо с QR-кодом ведет на сервер злоумышленника, затем жертву переводят на легитимную страницу входа Microsoft, пока сервер запускает OAuth-процесс с заранее настроенным client ID, а код устройства может прийти во втором письме из Microsoft-тенанта или пользователь будет автоматически переадресован на страницу ввода кода.
Proofpoint предупреждает о всплеске фишинговых атак, в которых злоумышленники уводят корпоративные аккаунты Microsoft 365 не через поддельный логин, а через вполне легитимный механизм OAuth — авторизацию по коду устройства. Жертву убеждают ввести «одноразовый код» на настоящем сайте Microsoft, и в результате атакующие получают токен доступа, который открывает путь к захвату учетной записи, выгрузке данных и дальнейшим действиям внутри организации.
Специалисты отслеживают сразу несколько кластеров — от финансово мотивированных до связанных с государствами, — которые используют разные варианты социальной инженерии, чтобы заставить пользователя «подтвердить» доступ для приложений через OAuth 2.0 device authorization grant flow. Схема обычно начинается с письма, где ссылка спрятана за кнопкой, гиперссылкой или QR-кодом. Переход запускает цепочку с официальным процессом Microsoft: пользователю показывают device code — прямо на странице или во втором письме от атакующих — и объясняют, что это якобы OTP для «усиленной проверки» или «переавторизации токена». Дальше жертву направляют на доверенный портал проверки Microsoft и просят ввести код, после чего исходный токен подтверждается и доступ уходит злоумышленникам.
Proofpoint отмечает, что сама техника не новая и ранее встречалась в точечных атаках и ограниченной «красной команде», но к сентябрю 2025 года они увидели необычно массовые кампании с таким подходом. Дополнительный фактор — появление инструментов и готовых компонентов, которые помогают атакующим масштабировать рассылки, несмотря на то что коды устройства живут недолго. Среди таких инструментов исследователи описывают SquarePhish2 — развитие SquarePhish, впервые опубликованного в 2022 году, а затем обновленного варианта, который в 2024 году появился на GitHub у независимого исследователя.
SquarePhish2 делает атаку похожей на привычную для пользователя процедуру настройки многофакторной аутентификации: письмо с QR-кодом ведет на сервер злоумышленника, затем жертву переводят на легитимную страницу входа Microsoft, пока сервер запускает OAuth-процесс с заранее настроенным client ID, а код устройства может прийти во втором письме из Microsoft-тенанта или пользователь будет автоматически переадресован на страницу ввода кода.