37 пъти ръст през 2026 г. – масова злоупотреба с легитимен механизъм

Нова вълна от фишинг атаки, базирани на OAuth 2.0 Device Authorization Grant, бележи драматичен ръст от над 37 пъти през 2026 г., според анализ на Push Security.

Техниката, известна като device code phishing, позволява на атакуващите да поемат контрол върху акаунти без да крадат пароли, използвайки легитимен процес за удостоверяване.

Как работи атаката: злоупотреба с доверие

Атаката използва стандартен OAuth механизъм, предназначен за устройства с ограничен интерфейс (напр. смарт телевизори, IoT устройства).

Сценарий на атака:

1. Атакуващият генерира device code от легитимна услуга
2. Изпраща кода на жертвата (имейл, чат, фалшив документ)
3. Жертвата въвежда кода в реална login страница
4. Системата издава access и refresh токени
5. Акаунтът е компрометиран – без подозрителен login

Ключовото предимство за атакуващите:

• Няма фалшива страница за вход
• MFA често не блокира атаката
• Действието изглежда легитимно

Основен двигател: Phishing-as-a-Service

Според Sekoia и Push Security, масовото разпространение се дължи на:

• EvilTokens – водещ PhaaS инструмент
• Наличието на поне 11 различни phishing комплекта

Тези платформи:

• „демократизират“ атаката
• позволяват използване от нискоквалифицирани хакери
• предлагат готови сценарии и инфраструктура

Екосистема от инструменти и кампании

Освен EvilTokens, изследователите проследяват и други комплекти като:

• VENOM – комбинира device code phishing и AiTM
• DOCUPOLL – имитира DocuSign процеси
• PAPRIKA – използва фалшиви Microsoft 365 страници
• CLURE – използва anti-bot механизми

Общи характеристики:

• SaaS теми (Microsoft, DocuSign, SharePoint)
• Cloud хостинг (AWS, Cloudflare, GitHub Pages)
• Anti-bot защити
• Реалистични интерфейси

Защо тази атака е толкова ефективна

1. Заобикаля традиционните защити
Не изисква кражба на парола или фалшив login.

2. Използва легитимна инфраструктура
Всичко се случва в реални платформи.

3. Трудна за откриване
Сесиите изглеждат валидни и доверени.

Как да се защитим

Push Security препоръчва:

Технически мерки:

• Деактивиране на device authorization flow, когато не е нужен
• Conditional Access политики
• Мониторинг на:
  • необичайни device code login-и
  • непознати IP адреси
  • нови сесии

Организационни мерки:

• Обучение срещу социално инженерство
• Контрол върху OAuth приложения
• Ограничаване на токен достъп

Hов стандарт за атаки срещу идентичности

Device code phishing е част от по-широка тенденция:

• Преход към token-based атаки
• Фокус върху идентичности, а не пароли
• Злоупотреба с легитимни протоколи

Това означава, че традиционният периметър вече не съществува.

Device code phishing се превръща в една от най-опасните техники през 2026 г., комбинирайки:

• легитимни технологии
• автоматизация
• социално инженерство

В среда, в която дори MFA не е достатъчен, контролът върху OAuth и токените става критичен за сигурността.