Хакеры обленились – теперь они просят вас самих впустить их в аккаунт (и вы соглашаетесь)

Proofpoint предупреждает о всплеске фишинговых атак, в которых злоумышленники уводят корпоративные аккаунты Microsoft 365 не через поддельный логин, а через вполне легитимный механизм OAuth — авторизацию по коду устройства. Жертву убеждают ввести «одноразовый код» на настоящем сайте Microsoft, и в результате атакующие получают токен доступа, который открывает путь к захвату учетной записи, выгрузке данных и дальнейшим действиям внутри организации.

Специалисты отслеживают сразу несколько кластеров — от финансово мотивированных до связанных с государствами, — которые используют разные варианты социальной инженерии, чтобы заставить пользователя «подтвердить» доступ для приложений через OAuth 2.0 device authorization grant flow. Схема обычно начинается с письма, где ссылка спрятана за кнопкой, гиперссылкой или QR-кодом. Переход запускает цепочку с официальным процессом Microsoft: пользователю показывают device code — прямо на странице или во втором письме от атакующих — и объясняют, что это якобы OTP для «усиленной проверки» или «переавторизации токена». Дальше жертву направляют на доверенный портал проверки Microsoft и просят ввести код, после чего исходный токен подтверждается и доступ уходит злоумышленникам.

Proofpoint отмечает, что сама техника не новая и ранее встречалась в точечных атаках и ограниченной «красной команде», но к сентябрю 2025 года они увидели необычно массовые кампании с таким подходом. Дополнительный фактор — появление инструментов и готовых компонентов, которые помогают атакующим масштабировать рассылки, несмотря на то что коды устройства живут недолго. Среди таких инструментов исследователи описывают SquarePhish2 — развитие SquarePhish, впервые опубликованного в 2022 году, а затем обновленного варианта, который в 2024 году появился на GitHub у независимого исследователя.

SquarePhish2 делает атаку похожей на привычную для пользователя процедуру настройки многофакторной аутентификации: письмо с QR-кодом ведет на сервер злоумышленника, затем жертву переводят на легитимную страницу входа Microsoft, пока сервер запускает OAuth-процесс с заранее настроенным client ID, а код устройства может прийти во втором письме из Microsoft-тенанта или пользователь будет автоматически переадресован на страницу ввода кода.

Еще один упомянутый набор — Graphish, который распространялся на закрытых криминальных форумах и отдавался бесплатно «проверенным» участникам. Он рассчитан на массовые атаки на аккаунты Microsoft, в том числе с созданием правдоподобных фишинговых страниц и сценариями adversary-in-the-middle через reverse proxy: пользователь вводит логин и пароль, проходит MFA, а атакующий перехватывает сессию. Для повышения убедительности злоумышленнику требуется домен и SSL-сертификат, а также регистрация приложения в Azure и использование client ID, чтобы подталкивать жертву к OAuth-разрешениям. В Proofpoint подчеркивают, что подобные наборы «упрощают жизнь» даже низкоквалифицированным преступникам, снижая порог входа в достаточно сложные атаки.

В качестве примера Proofpoint приводит кампанию, обнаруженную 8 декабря: жертве приходило письмо-«напоминание» о якобы расшаренном документе "Salary Bonus + Employer Benefit Reports 25", где ссылка вела на сайт злоумышленника с локализацией по IP и брендингом целевой компании. После ввода адреса почты появлялось окно «безопасной аутентификации» с кодом и инструкцией ввести его на странице Microsoft для device authorization — и именно это действие фактически давало атакующему доступ к Microsoft 365.

Отдельно исследователи описывают TA2723 — финансово мотивированного высокообъемного фишера, известного спуфингом OneDrive, LinkedIn и DocuSign: с октября 2025 года он тоже начал использовать device code. В одной из волн 9–10 октября письма маскировались под расшаренный файл с персонализацией под получателя, а переход по ссылке сначала вел на страницу «генерации OTP», после чего кнопка меняла назначение и уводила на легитимный портал Microsoft, где жертва фактически авторизовывала приложение, контролируемое атакующим. Proofpoint предполагает, что в кампаниях TA2723 могли использоваться SquarePhish2 и Graphish, исходя из сроков, изменений тактик и появления Graphish на закрытом форуме незадолго до второй волны.

По данным Proofpoint, с января 2025 года к device code phishing стали прибегать и «государственные» игроки, что укладывается в общий тренд на password-less фишинг. Наиболее широко техника, по наблюдениям исследователей, используется группами с российской ориентацией; также фиксировалась предполагаемая активность с китайской связью и другие неатрибутированные шпионские кампании. В качестве заметного примера приводится UNK_AcademicFlare, за которым Proofpoint наблюдает как минимум с сентября 2025 года: злоумышленники использовали взломанные почтовые ящики государственных и военных организаций, чтобы через «безобидную переписку» и выстраивание доверия подвести цель к фиктивной встрече или интервью и затем прислать ссылку на «документ с вопросами». Ссылка вела на Cloudflare Worker URL, имитирующий OneDrive, и запускала device code-сценарий, где жертву просили скопировать код и продолжить на странице входа Microsoft.

В рекомендациях Proofpoint называет самым надежным шагом блокировку device code flow через Conditional Access с условием Authentication Flows — хотя бы сначала в режиме отчета или через оценку влияния по историческим логам входов. Если полная блокировка невозможна, предлагается модель allow-list с ограничением по пользователям, ОС или диапазонам IP и «именованным локациям».

Дополнительно советуют требовать вход только с управляемых или соответствующих требованиям устройств (если используется регистрация устройств или Intune) и пересмотреть обучение пользователей: проверка URL в таких атаках почти не помогает, потому что ввод кода происходит на настоящем домене Microsoft, а ключевой признак — сам факт просьбы ввести device code, полученный из недоверенного источника. В Proofpoint считают, что злоупотребление OAuth будет расти по мере распространения FIDO-совместимых MFA-подходов.