Долгое время считавшаяся инструментом целевых атак, техника компрометации учётных записей, известная как фишинг через коды устройств (device code phishing), в 2026 году пережила взрывной рост и перешла в разряд массовых угроз. Этот метод, эксплуатирующий легитимный механизм авторизации OAuth 2.0 Device Authorization Grant, позволяет злоумышленникам обходить многофакторную аутентификацию, включая устойчивые к фишингу паски (passkeys), и напрямую получать токены доступа к корпоративным сервисам. Резкий скачок активности связан с появлением на криминальных форумах готовых инструментов в модели "фишинг как услуга" (PhaaS), что демократизировало атаку и сделало её доступной для широкого круга киберпреступников.
Описание
Техническая суть атаки заключается в злоупотреблении функцией, предназначенной для входа на устройствах с ограниченным вводом, например, в интерфейсах командной строки (CLI). Вместо пароля пользователю предлагается перейти на специальную страницу и ввести одноразовый код. Злоумышленники, сгенерировав такой код для своего контролируемого приложения, обманом заставляют жертву ввести его на *легитимном* портале провайдера, такого как Microsoft, Google или Salesforce. В результате токены доступа выдаются атакующему приложению, а не устройству пользователя. Критически важно, что начальный запрос на генерацию кода обычно не требует аутентификации, что открывает широкие возможности для атак.
Если в начале марта исследователи наблюдали 15-кратный рост обнаружения фишинговых страниц такого типа по сравнению с предыдущим периодом, то к настоящему моменту этот показатель вырос до 37,5 раз. Столь резкая эскалация напрямую связана с выходом на рынок набора EvilTokens, первого широко распространённого криминального PhaaS-набора для фишинга через коды устройств, запущенного в феврале 2026 года. Этот набор, активно использующий инфраструктуру вроде Cloudflare Workers и Railway для фронтенда и бэкенда, отличается продвинутыми методами уклонения от обнаружения: множественными редиректами через доверенные сайты, защитой от ботов и использованием всплывающих окон для ввода кода, что делает атаку максимально правдоподобной.
Помимо EvilTokens, в дикой природе циркулирует как минимум девять других наборов, получивших внутренние кодовые имена вроде SHAREFILE, CLURE или LINKID. Они используют разнообразную инфраструктуру хостинга, от DigitalOcean и AWS до GitHub Pages, и маскируются под легитимные уведомления от Microsoft Teams, SharePoint, DocuSign, Adobe или Citrix ShareFile. Например, набор AUTHOV визуально копирует интерфейс совместного доступа к документам Adobe Acrobat, а DOCUPOLL представляет собой полную копию реальной страницы Docusign.com с внедрённым вредоносным кодом. Эксперты отметили, что эта волна активности указывает на окончательный переход тактики из арсенала APT-групп (продвинутых постоянных угроз) в массовый криминальный инструментарий.
Опасность метода заключается в его способности полностью обходить традиционные средства защиты. Поскольку авторизация по коду устройства происходит *после* этапа входа в систему, она не требует ввода пароля или подтверждения через MFA, даже если у пользователя уже есть активная сессия в браузере. Более того, сама атака происходит на официальном, доверенном сайте провайдера, что делает её невидимой для многих систем фильтрации электронной почты и сетевого анализа. Особую озабоченность вызывают атаки на экосистему Microsoft, где злоумышленники часто используют встроенные приложения первого уровня (first-party apps), которые по умолчанию разрешены в каждом тенанте Entra ID и имеют предварительно согласованные разрешения, в том числе для устаревших областей доступа (legacy scopes).
Для организаций смягчение рисков представляет серьёзную проблему, поскольку авторизация по коду устройства - это легальная и часто необходимая функция, особенно для разработчиков, использующих CLI. Полный запрет этого потока может нарушить бизнес-процессы. Microsoft, являющаяся основной мишенью, рекомендует создавать политики условного доступа для блокировки потока кодов устройств для пользователей, которые не использовали его в течение последних 25 дней. Другой вариант - управление корпоративными приложениями, требующее назначения пользователей для каждого приложения, что является трудоёмким процессом. Для других провайдеров, таких как GitHub или AWS, возможности контроля ещё более ограничены, оставляя компаниям в основном инструменты мониторинга и реагирования.
Таким образом, фишинг через коды устройств перестал быть теоретической угрозой и превратился в практическую и масштабируемую опасность для корпоративной безопасности. Его способность обходить самые сильные методы аутентификации и использовать доверенные домены ставит под удар основы модели нулевого доверия. В ответ организациям необходимо пересмотреть политики OAuth, усилить мониторинг аномальных событий авторизации и рассмотреть дополнительные слои защиты на уровне браузера, чтобы противостоять этой новой, но уже массовой волне атак.
Индикаторы компрометации
IPv4
- 144.172.103.240
- 147.45.60.47
- 162.243.166.119
- 192.3.225.100
- 34.53.159.84
- 43.166.163.163
IPv6
- 2600:1f10:470d:9a00:1437:ec30:be61:3494
Domains
- auth.duemineral.uk
- authenticate-m365-accountsecurity-m-pi.vercel.app
- cghdfg.vbchkioi.su
- data-migration-dolcegabbana.powerappsportals.com
- index-z059-document-pending-reviewsign-xlss7994824.awalizer.workers.dev
- interface-auth-en-useast.global.ssl.fastly.net
- milosh-solibella-0dcio.sgttommy.workers.dev
- redirect-523346-d95027ec.s3.amazonaws.com
- salaryadjustment-2afb52.pmb6fefc52b3f9aa5c2dbf.workers.dev
- sdtr-site.cfd
- secure-systems-validations-courts.vercel.app
- teams-zpfvwnpxuc.edgeone.dev
