Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+
Image

Устали от спама и фишинга?

Вредоносные письма просто не дойдут до ваших пользователей — мы позаботились об этом.
Онлайн-трансляция — 9 апреля в 15:00 — присоединяйтесь.

Рост атак в 37 раз. Как работает EvilTokens и почему антивирусы его пропускают

leer en español

Push Security EvilTokens OAuth 2.0 Device Code фишинг Microsoft 365 кибератаки
Рост атак в 37 раз. Как работает EvilTokens и почему антивирусы его пропускают
Push Security EvilTokens OAuth 2.0 Device Code фишинг Microsoft 365 кибератаки

Разбираемся, где заканчивается удобство и начинается опасность.

image

Атаки на аккаунты снова меняют форму — злоумышленники всё чаще обходят привычные схемы и используют легальные механизмы авторизации. На первый взгляд процесс выглядит безопасно, но именно в этом и кроется главная проблема: жертва сама открывает доступ к своему профилю, не подозревая о подвохе.

Специалисты зафиксировали резкий рост атак с использованием так называемых Device Code — за год их число увеличилось более чем в 37 раз. Речь идёт о злоупотреблении механизмом OAuth 2.0 Device Authorization Grant, который изначально создавали для удобного входа на устройствах без клавиатуры или с ограниченным вводом — например, на смарт-телевизорах, принтерах или IoT-устройствах.

Сценарий атаки выглядит довольно просто. Злоумышленник инициирует запрос авторизации и получает специальный код. Затем под разными предлогами отправляет этот код жертве — например, в письме или через мессенджер. После ввода кода на настоящей странице входа пользователь фактически подтверждает доступ к аккаунту, а атакующий получает валидные токены и полный контроль над сессией.

Подобная техника известна с 2020 года, но активное применение началось позже. Теперь речь идёт уже не о единичных случаях — метод массово используют как финансово мотивированные группы, так и более организованные игроки.

Команда Push Security отмечает, что ключевую роль в распространении сыграли готовые инструменты, которые продаются по модели «фишинг как услуга». Самым заметным стал набор EvilTokens, который существенно упростил запуск таких атак и сделал их доступными даже для малоопытных участников. Параллельно развиваются и другие решения, конкурирующие в той же нише.

Среди них выделяют VENOM, SHAREFILE, CLURE, LINKID, AUTHOV, DOCUPOLL и ряд других платформ. Большинство маскирует атаки под популярные SaaS-сервисы, включая Microsoft 365, DocuSign, Adobe и корпоративные инструменты вроде Teams. Для повышения эффективности применяются антибот-фильтры, поддельные страницы и облачные инфраструктуры.

Отдельные наборы имитируют реальные рабочие процессы — например, отправку документов на подпись или уведомления от HR. Такой подход снижает подозрения и повышает вероятность того, что пользователь введёт код без лишних вопросов.

Специалисты советуют ограничить использование Device Code авторизации там, где в ней нет необходимости. Дополнительно помогает анализ журналов входа — подозрение должны вызывать неожиданные попытки авторизации, странные IP-адреса и необычные сессии.

Рост подобных атак показывает, что злоумышленники всё чаще опираются не на уязвимости, а на доверие пользователей и легитимные механизмы сервисов.