Специалисты «Лаборатории Касперского» раскрыли фишинговую кампанию, в которой злоумышленники эксплуатировали легитимный механизм авторизации Microsoft — Device Authorization Grant (Device Code Flow). Атаки, зафиксированные в период с начала апреля по середину мая 2026 года, были нацелены на получение токенов учётных записей жертв, что открывало путь к компрометации корпоративных данных. Особенность подхода в том, что хакерам не требовалось красть логины и пароли: доступ к учётным записям они получали с помощью штатных средств аутентификации OAuth 2.0.

Device Code Flow — это метод авторизации, изначально спроектированный для устройств, на которых ввод учётных данных затруднён или невозможен, таких как смарт-ТВ, игровые приставки, принтеры или утилиты командной строки. В ходе расследования эксперты установили, что вся вредоносная активность была тщательно замаскирована под уведомления от юридических фирм. Пользователи получали электронные письма, содержащие защищённый паролем PDF-файл. После открытия документа жертве предлагалось перейти по ссылке для ознакомления с якобы важными материалами. Ссылка формально указывала на легитимный домен Microsoft, но через механизм переадресации пользователи попадали на фишинговый сайт, имитирующий портал для просмотра юридических документов.

На поддельном ресурсе после прохождения нескольких проверок CAPTCHA жертве предлагали скопировать одноразовый код, заранее сгенерированный атакующими, и ввести его на официальной странице Microsoft. Тем самым завершался процесс многофакторной аутентификации, и пользователь самостоятельно подтверждал доступ злоумышленников к собственной учётной записи. Полученные токены текущей сессии позволяли хакерам читать электронную почту жертвы, отправлять письма от её имени, получать доступ к файлам в облачном хранилище Microsoft OneDrive и просматривать переписку в Microsoft Teams.

Как подчеркнул эксперт по кибербезопасности «Лаборатории Касперского» Роман Деденок, злоумышленники всё чаще обходятся без вредоносного программного обеспечения или прямой кражи учётных данных, злоупотребляя легитимными ИТ-инструментами и механизмами авторизации. Поэтому российским пользователям необходимо проявлять бдительность не только при посещении подозрительных сайтов, но и во время работы с официальными платформами. Дополнительный уровень защиты от подобных атак могут обеспечить надёжные решения для защиты электронной почты, гарантирующие безопасность как корпоративной, так и личной переписки.

Отдельного внимания заслуживает всплеск мошеннических схем, связанных с ажиотажем вокруг официального старта предзаказов на видеоигру Grand Theft Auto VI. В июле 2026 года «Лаборатория Касперского» сообщила о появлении многочисленных обманных ресурсов, эксплуатирующих интерес к проекту. Среди обнаруженных легенд — поддельные страницы с предзаказами, а также сайты, имитирующие поиск ИТ-тестировщиков ранней версии игры. В частности, был выявлен русскоязычный мошеннический сайт, объявлявший о наборе тестировщиков GTA VI среди жителей стран СНГ.

На странице утверждалось, что «активных геймеров, готовых делиться фидбеком и участвовать в закрытых сессиях», приглашают присоединиться к программе тестирования. Для участия пользователям предлагалось подписаться на закрытый Telegram-канал, где впоследствии их, с высокой долей вероятности, вовлекали в дальнейшие схемы обмана уже через мессенджер. Таким образом, мошенники задействовали комбинацию подставных веб-ресурсов и социальной инженерии для обхода стандартных механизмов защиты и кражи персональных данных жертв.

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *