Рост атак в 37 раз. Как работает EvilTokens и почему антивирусы его пропускают
NewsMakerРазбираемся, где заканчивается удобство и начинается опасность.
Атаки на аккаунты снова меняют форму — злоумышленники всё чаще обходят привычные схемы и используют легальные механизмы авторизации. На первый взгляд процесс выглядит безопасно, но именно в этом и кроется главная проблема: жертва сама открывает доступ к своему профилю, не подозревая о подвохе.
Специалисты зафиксировали резкий рост атак с использованием так называемых Device Code — за год их число увеличилось более чем в 37 раз. Речь идёт о злоупотреблении механизмом OAuth 2.0 Device Authorization Grant, который изначально создавали для удобного входа на устройствах без клавиатуры или с ограниченным вводом — например, на смарт-телевизорах, принтерах или IoT-устройствах.
Сценарий атаки выглядит довольно просто. Злоумышленник инициирует запрос авторизации и получает специальный код. Затем под разными предлогами отправляет этот код жертве — например, в письме или через мессенджер. После ввода кода на настоящей странице входа пользователь фактически подтверждает доступ к аккаунту, а атакующий получает валидные токены и полный контроль над сессией.
Подобная техника известна с 2020 года, но активное применение началось позже. Теперь речь идёт уже не о единичных случаях — метод массово используют как финансово мотивированные группы, так и более организованные игроки.
Атаки на аккаунты снова меняют форму — злоумышленники всё чаще обходят привычные схемы и используют легальные механизмы авторизации. На первый взгляд процесс выглядит безопасно, но именно в этом и кроется главная проблема: жертва сама открывает доступ к своему профилю, не подозревая о подвохе.
Специалисты зафиксировали резкий рост атак с использованием так называемых Device Code — за год их число увеличилось более чем в 37 раз. Речь идёт о злоупотреблении механизмом OAuth 2.0 Device Authorization Grant, который изначально создавали для удобного входа на устройствах без клавиатуры или с ограниченным вводом — например, на смарт-телевизорах, принтерах или IoT-устройствах.
Сценарий атаки выглядит довольно просто. Злоумышленник инициирует запрос авторизации и получает специальный код. Затем под разными предлогами отправляет этот код жертве — например, в письме или через мессенджер. После ввода кода на настоящей странице входа пользователь фактически подтверждает доступ к аккаунту, а атакующий получает валидные токены и полный контроль над сессией.
Подобная техника известна с 2020 года, но активное применение началось позже. Теперь речь идёт уже не о единичных случаях — метод массово используют как финансово мотивированные группы, так и более организованные игроки.