Сложная фишинговая атака обходит MFA в Microsoft 365, используя легитимный портал Microsoft

Как работает атака: пять шагов от фишинга к постоянному доступу

В основе атаки лежит эксплуатация потока Device Authorization Grant в рамках протокола OAuth 2.0. Этот механизм изначально предназначен для авторизации на устройствах с ограниченным вводом, таких как смарт-телевизоры или игровые консоли. Пользователь видит на экране устройства код, заходит с другого гаджета на специальную страницу "microsoft.com/devicelogin", вводит этот код и свои учётные данные. Злоумышленники адаптировали этот сценарий для мошенничества.

Атака развивается в пять чётких фаз. Сначала злоумышленник регистрирует своё приложение в экосистеме Microsoft 365 и генерирует уникальный код устройства. Затем этот код доставляется жертве через тщательно подготовленное фишинговое письмо. Во второй фазе сотрудник, поверив письму, переходит по встроенной ссылке. Далее он попадает на контролируемую атакующими поддельную страницу, стилизованную под интерфейс Microsoft 365, где ему показывают тот самый код и просят пройти «безопасную аутентификацию».

Ключевой и наиболее коварный этап - четвёртый. Пользователь действительно перенаправляется на официальный, абсолютно легитимный домен Microsoft ("microsoft.com/devicelogin"), где вводит предоставленный злоумышленником код, а затем успешно проходит обычную процедуру входа, включая MFA, например, подтверждая вход в приложении Authenticator. На этом этапе жертва уверена, что взаимодействует только с доверенным сервисом. Однако, как только платформа идентификации Microsoft выдаёт валидные OAuth-токены (access и refresh tokens), они в режиме реального времени перехватываются приложением атакующего. Это даёт злоумышленникам долгосрочный и устойчивый доступ к аккаунту, который сохраняется даже после смены пароля, поскольку аутентификация происходит по токену.

Социальная инженерия: приманки, основанные на срочности и финансовой выгоде

Успех кампании держится на высоком уровне социальной инженерии. Письма создают ощущение срочности, имитируют уведомления от доверенных сервисов или играют на финансовой заинтересованности сотрудников. Среди зафиксированных приманок - поддельные подтверждения крупных банковских переводов (например, на 125 000 долларов США) с пометкой о срочном зачислении в течение одного-двух рабочих дней. Другие письма имитируют уведомления о совместном доступе к документам в Google Drive, предлагая ознакомиться с формой о распределении премий по итогам квартала. Третий распространённый тип - фальшивые уведомления о голосовой почте с необычно длинной продолжительностью записи (например, 925 секунд), что призвано вызвать любопытство и подтолкнуть к клику по кнопке «Прослушать сообщение».

Последствия и риски: полный контроль над корпоративной средой

Кража OAuth-токенов имеет гораздо более серьёзные последствия, чем компрометация пароля. Полученный доступ является устойчивым (persistent) и часто предоставляет приложению злоумышленника широкие права. Атакующие получают возможность читать, отправлять и удалять электронную почту, управлять календарём, получать доступ к файлам в OneDrive и SharePoint, а в некоторых случаях - выполнять административные функции. Это открывает путь для шпионажа, хищения интеллектуальной собственности, проведения финансовых мошенничеств или последующего перемещения по корпоративной сети.

Рекомендации по защите: оперативные и стратегические меры

Эксперты KnowBe4 рекомендуют немедленно принять ряд защитных мер. Во-первых, необходимо заблокировать известные индикаторы компрометации (IOCs, Indicators of Compromise) на уровне почтовых шлюзов и веб-прокси. Во-вторых, следует провести поиск в журналах почты по характерным шаблонам тем и отправителей, описанным в отчёте. Критически важным шагом является срочный аудит всех OAuth-приложений, имеющих доступ к корпоративному тенанту Microsoft 365. В панели администрирования нужно отозвать права у всех подозрительных или неопознанных приложений. Кроме того, следует проверить журналы входа в Azure AD на предмет событий аутентификации по коду устройства и входов из необычных географических локаций.

Стратегически ИТ- и security-командам стоит рассмотреть возможность полного отключения потока Device Code Flow через политики условного доступа (Conditional Access), если он не используется в организации для авторизации на общих или публичных устройствах. Это можно сделать, например, с помощью PowerShell-команды "Update-MgPolicyAuthorizationPolicy -AllowedToUseDeviceCodeFlow $false". Если отключение невозможно, необходимо внедрить строгие политики условного доступа, ограничивающие использование этого механизма определёнными группами пользователей, доверенными местоположениями и устройствами. Также рекомендуется задействовать возможности Microsoft Defender for Cloud Apps для постоянного мониторинга и управления предоставлением разрешений OAuth-приложениям.

Данная кампания наглядно демонстрирует, как злоумышленники эволюционируют, атакуя не слабые звенья в криптографии, а легитимные процессы и человеческий фактор. Защита теперь требует не только технических мер, но и постоянного обучения пользователей распознаванию сложных фишинговых атак, которые могут использовать доверенные домены и правдоподобные сценарии.

Domains

• logon.sharefileselfservices.cloud
• newcrowdcapital.com
• sso-services.com

URLs

• storage.cloud.google.com/.../captcha.html
• storage.cloud.google.com/.../check.html

Emails

• noreply-application-integration@google.com