Киберпрестъпни групи провеждат целенасочени кампании срещу технологични, производствени и финансови организации, използвайки комбинация от телефонен социален инженеринг (vishing) и device code phishing, за да заобиколят стандартните механизми за защита на корпоративни акаунти. Атаките злоупотребяват с OAuth 2.0 Device Authorization потока и водят до компрометиране на акаунти в Microsoft Entra, без необходимост от класически фишинг сайтове или кражба на пароли.

Злоупотреба с легитимна функционалност, а не със зловредни приложения

За разлика от по-ранни атаки, при които се използваха злонамерени OAuth приложения, новите кампании разчитат на напълно легитимни Microsoft OAuth client ID-та и официалния device authorization flow. Така жертвите биват подмамени сами да се удостоверят, предоставяйки на атакуващите валидни токени за достъп и обновяване, които позволяват пълен достъп до акаунта им.

Този подход е особено ефективен, защото не изисква прихващане на MFA кодове – многофакторното удостоверяване се изпълнява коректно от самия потребител по време на измамната автентикация.

Вишинг като катализатор на атаката

Зад част от тези атаки стои групата за изнудване ShinyHunters, която вече е потвърдила участието си. Групата е била свързвана с вишинг атаки срещу SSO акаунти, включително платформи като Okta и Microsoft Entra, с цел кражба на корпоративни данни и последващо изнудване.

При този сценарий служител получава телефонно обаждане и е убеден да въведе user_code на официалната страница microsoft.com/devicelogin. Процесът изглежда напълно легитимен, тъй като използва реалните форми за вход на Microsoft и показва името на OAuth приложението, което често е официално.

Защо device code потокът е толкова опасен

OAuth 2.0 Device Authorization е създаден за устройства с ограничен интерфейс – смарт телевизори, IoT устройства или принтери. Подобно на логин процесите при услуги като Netflix или Apple TV, потребителят въвежда код на второ устройство, без директно да споделя парола.

Именно тази позната логика създава фалшиво усещане за сигурност, което атакуващите успешно експлоатират.

Масов достъп до SaaS и корпоративни ресурси

След успешна автентикация атакуващите получават refresh token, който им позволява да генерират нови access токени и да влизат в Microsoft 365 и свързаните SSO приложения, включително CRM, ERP и платформи за колаборация. Достъпът е устойчив и трудно засечим, тъй като MFA вече е изпълнено.

Препоръки за защита и текущи наблюдения

Екипите на KnowBe4 са идентифицирали паралелни кампании, използващи класически фишинг имейли за разпространение на device code атаки. Подобни техники са докладвани и от Proofpoint.

Ключовите защитни мерки включват:

• деактивиране на device code flow, когато не е необходим;

• одит и отнемане на съмнителни OAuth разрешения;

• мониторинг на логовете за device code автентикация;

• прилагане на строги conditional access политики.

Device code phishing вече не е екзотична техника, а утвърден инструмент в арсенала на модерните киберпрестъпни групи. Комбинацията с вишинг и използването на напълно легитимна инфраструктура прави тези атаки особено трудни за откриване и изисква преосмисляне на доверието в „официалните“ логин процеси.