Всплеск фишинга через код устройства: злоумышленники массово используют легитимные протоколы OAuth 2.0 для обхода многофакторной аутентификации

Суть атаки заключается в том, что злоумышленник заставляет жертву авторизовать вредоносное приложение в корпоративной учётной записи через легитимный поток OAuth 2.0 - протокол авторизации, который позволяет внешним программам получать доступ к данным пользователя. Вместо того чтобы вводить пароль, человек переходит по ссылке, видит сгенерированный код и вводит его на официальной странице Microsoft или другого провайдера. Сам того не подозревая, он передаёт злоумышленнику токен доступа, который даёт полный контроль над аккаунтом.

По данным компании Proofpoint, занимающейся кибербезопасностью, с 2020 года эта техника применялась лишь изредка - в основном красными командами или отдельными преступными группировками. Всё изменилось осенью 2025 года, когда в открытом доступе появились готовые криминальные наборы для фишинга через код устройства, а также услуги "фишинг как сервис" (PhaaS). Их распространение совпало с бумом так называемого виб-кодинга - создания вредоносного кода с помощью генеративных нейросетей. Теперь любой желающий может почти мгновенно скопировать или сгенерировать атаку, не обладая глубокими техническими знаниями.

Эксперты отмечают, что сегодняшние атаки принципиально отличаются от ранних версий. Раньше злоумышленник заранее создавал код, который действовал всего 15 минут, и отправлял его жертве. Если человек не открывал письмо сразу, код истекал, и преступник терял возможность. Сейчас код генерируется динамически в момент перехода по ссылке. Это простое изменение резко повысило эффективность - жертва может открыть письмо в любое время, и атака всё равно сработает.

В свежем отчёте Proofpoint описывает, как за десять дней апреля 2026 года исследователи обнаружили около семи различных вариантов фишинговых страниц, внешне почти неотличимых друг от друга. Все они копировали один и тот же дизайн. Одной из самых популярных платформ PhaaS стал EvilTokens - инструмент, впервые прорекламированный в Telegram в феврале 2026 года. Он предлагает несколько десятков тем для поддельных страниц, имитирующих Microsoft, Adobe, DocuSign и другие сервисы. Покупатель может даже заказать дополнительную панель Portal Browser для массового управления скомпрометированными аккаунтами - это автоматизирует компрометацию деловой переписки.

Заметный сдвиг произошёл и среди известных преступных групп. Например, группировка TA4903, ранее занимавшаяся компрометацией деловой почты, в марте 2026 года практически полностью переключилась на фишинг через код устройства. В одной из кампаний она рассылала письма якобы от отдела кадров с темой "уведомление о зарплате". В PDF-вложении находился QR-код, который вёл на поддельную страницу DocuSign и Microsoft. Жертву просили ввести код, сгенерированный на этой странице, в официальный портал аутентификации. Примечательно, что некоторые письма приходили с полностью пустым телом - злоумышленник даже не потрудился написать текст приманки. Это говорит либо об автоматизации кампаний, либо о низком уровне исполнителя.

Другой важный тренд - миграция с фишинга AiTM (перехват токенов многофакторной аутентификации) на фишинг через код устройства. После того как в феврале 2026 года была нарушена работа значительной части инфраструктуры популярного сервиса Tycoon 2FA, его оператор начал предлагать устройный фишинг как отдельную услугу. Сейчас страницы Tycoon 2FA внешне почти неотличимы от EvilTokens. Аналогичным образом поступил сервис ODx (известный также как Storm-1167 и FlowerStorm), который внедрил в свои предложения модуль Kali365. Эксперты полагают, что преступники активно заимствуют и дорабатывают чужие инструменты с помощью искусственного интеллекта.

Фишинг через код устройства быстро распространяется по всему миру - атаки замечены на английском, испанском, немецком и других языках. При этом, несмотря на активное использование нейросетей, многие кампании остаются грубыми. Злоумышленники часто допускают серьёзные операционные ошибки: оставляют открытыми панели управления, встраивают в HTML свои настоящие имена и адреса электронной почты, используют незащищённую инфраструктуру. Эти промахи позволяют исследователям идентифицировать новые варианты атак и классифицировать их.

Схожесть с техникой ClickFix, стремительно набравшей популярность в 2024 году, бросается в глаза. В обоих случаях преступник убеждает человека совершить опасное действие - скопировать код и вставить его туда, куда не следует. Оба метода сначала применялись единичными группами, а затем, после доказательства эффективности, стали массовыми и доступными в виде услуги на теневых форумах.

Последствия успешной атаки могут быть катастрофическими. Захват учётной записи даёт злоумышленнику доступ к корпоративной почте, облачным хранилищам, внутренним сервисам. Оттуда он может перемещаться по сети, похищать данные, переводить деньги или запускать программы-вымогатели. Для бизнеса это означает утечку конфиденциальной информации, финансовые потери и репутационный ущерб.

Хорошая новость в том, что методы защиты остаются едиными независимо от того, какой набор использует злоумышленник. Самая действенная мера - заблокировать поток кода устройства на уровне политик условного доступа. Администраторы могут сначала включить режим только отчёта, чтобы оценить влияние, а затем полностью запретить этот тип аутентификации или разрешить его лишь для утверждённых пользователей и устройств. В качестве дополнительного уровня рекомендуется требовать, чтобы вход выполнялся только с корпоративных или зарегистрированных устройств. Это не панацея, но существенно снижает риск.

Фишинг через код устройства стал очередным звеном в эволюции кражи учётных данных. По мере того как защита становится умнее, а пользователи - грамотнее, преступники вынуждены придумывать новые уловки. Искусственный интеллект снизил порог входа, но одновременно внёс в их деятельность новые уязвимости, связанные с плохой операционной безопасностью. Это означает, что, хотя инструментов для преступлений стало больше, качество их исполнения не всегда растёт.

Domains

• 019d442a-endpoint.com
• 019d442e-endpoint.com
• 019d6860-endpoint.com
• 0fdba029e6a5-endpoint.com
• 2dc62559e005-endpoint.com
• 4daa2aea93db-endpoint.com
• 6dd5fd945b34-endpoint.com
• 7740f766-8d1d-46ad-a6bc-onedrive.p-9jluifuu.workers.dev
• 7806d4cf9366-endpoint.com
• audit-report-9767d3.fullerjp09.workers.dev
• consistentdigital.de
• crediblebizextension.de
• digitalcontinuity.de
• digitalreliability.de
• ed5ce47d835f-endpoint.com
• ee10bbf6c689-endpoint.com
• euromarketsignal.de
• europesignaltrust.de
• europetrustwave.de
• extendyourcredibility.de
• f36c2774f013-endpoint.com
• f8uh-dwam-j4l5.pvasquez-princetonpartners-com-s-account.workers.dev
• heilbronner-fruehlingssymposium.de
• hti-245401512.hs-sites-na2.com
• jo2c9ada427c6-endpoint.com
• kohlhoff-edelstahlverarbeitung.de
• marketcredibilitysignals.de
• marktkarree-langenfeld.de
• methodicalness.de
• onedrive-7tu.techroboticslabmade-techie-com-s-account.workers.dev
• panel.hewktree.net
• reliableinteractions.de
• reliablesupport.de
• servicewithoutinterruption.de
• stablewebsystems.de
• trustedengagement.de
• uninterruptedperformance.de
• voicemail-59f.admin-treyripple-com-s-account.workers.dev
• voicemail-lyr.nbuckley-cambek-com-s-account.workers.dev
• voicemail-wx7.mark-squires-expressrancnes-com-s-account.workers.dev
• yaga9b286ae2c101-endpoint.com
• ytgw-9n30-xlwd.pvasquez-princetonpartners-com-s-account.workers.dev
• z6e43e5886fe-endpoint.com