Пришло письмо о прибавке к зарплате? Поздравляем — вас, скорее всего, взламывают

Мошенники и связанные с государствами хакерские группы начали массово применять новую схему угона учётных записей Microsoft 365. Вместо кражи паролей злоумышленники убеждают жертву самостоятельно выдать доступ к аккаунту через официальный механизм авторизации Microsoft. Для атаки используют ссылки, QR-коды и поддельные уведомления о документах, бонусах или проверке безопасности.

Специалисты Proofpoint сообщили, что с сентября 2025 года число подобных кампаний резко выросло. Раньше атаки с использованием так называемых кодов устройств встречались редко и в основном применялись в точечных операциях. Теперь схему используют сразу несколько группировок, включая финансово мотивированную TA2723 и предполагаемых кибершпионов, связанных с Китаем.

Атака строится вокруг механизма OAuth Device Code Flow, который Microsoft создала для входа в аккаунт на устройствах с ограниченными возможностями ввода – например, телевизорах или приставках. Пользователь получает специальный код и вводит его на официальной странице Microsoft для подтверждения входа. После подтверждения сервис выдаёт токен доступа.

Злоумышленники научились использовать эту процедуру в своих интересах. Жертве приходит письмо со ссылкой, кнопкой или QR-кодом. Сообщение может маскироваться под уведомление о новом документе, премии, корпоративных льготах или запросе на повторную авторизацию. После перехода пользователь попадает на поддельный сайт, где получает код и инструкцию ввести его на настоящем портале Microsoft. В результате доступ к учётной записи получает атакующий.

Одной из самых заметных кампаний стала рассылка с темой «Salary Bonus + Employer Benefits Reports 25». Пользователям обещали документ с информацией о бонусах и льготах. Ссылка в письме вела на сайт злоумышленников, оформленный под корпоративный портал компании жертвы. После ввода адреса электронной почты посетителю показывали окно с «кодом многофакторной аутентификации» и перенаправляли на страницу microsoft.com/devicelogin. Ввод кода фактически передавал мошенникам контроль над аккаунтом Microsoft 365.

Группировка TA2723 использовала похожую схему в октябре 2025 года. Жертвам отправляли письма о якобы обновлённой зарплатной ведомости. После нажатия на кнопку открытия документа пользователь попадал на страницу генерации одноразового кода, а затем перенаправлялся на официальный сервис Microsoft для подтверждения доступа.

Для подобных атак злоумышленники активно используют готовые инструменты. Среди них специалисты выделили наборы SquarePhish2 и Graphish. Первый помогает автоматизировать фишинговые кампании с QR-кодами и кодами авторизации устройств Microsoft. Второй позволяет создавать поддельные страницы входа и перехватывать сессии пользователей через обратный прокси-сервер.

Особую тревогу у Proofpoint вызывает рост активности групп, связанных с государствами. С января 2025 года специалисты фиксируют многочисленные кампании кибершпионажа с использованием схемы device code phishing.

Одну из таких групп Proofpoint отслеживает под именем UNK_AcademicFlare. С сентября 2025 года злоумышленники использовали взломанные почтовые ящики правительственных и военных организаций для контактов с университетами, аналитическими центрами и транспортными компаниями в США и Европе. Сначала жертве отправляли безобидное письмо и вели переписку на профессиональные темы, а позже предлагали ознакомиться с документом по ссылке. Ссылка вела на поддельный сервис OneDrive, размещённый через Cloudflare Workers, где пользователя просили скопировать код и подтвердить вход через официальный портал Microsoft.

После успешной атаки злоумышленники получают полный доступ к почте и данным Microsoft 365. Далее возможны: хищение документов, закрепление в инфраструктуре компании, перемещение по внутренней сети и новые атаки от имени взломанного пользователя.

В Proofpoint считают, что популярность подобных схем продолжит расти – особенно на фоне перехода компаний на беспарольную аутентификацию и методы входа на основе FIDO. Компания рекомендует по возможности полностью отключать авторизацию через device code flow, ограничивать список разрешённых устройств и дополнительно обучать сотрудников не вводить коды авторизации, полученные из писем или сообщений от неизвестных отправителей.