Повечето онлайн измами продължават да се въртят около една основна цел – кражба на парола. Потребителите са обучени да разпознават фалшиви страници за вход, подозрителни линкове и спешни имейли с искане за „потвърждение“ на данни, пише Kaldata.
Нова вълна атаки срещу акаунти в Microsoft обаче действа по различен начин. Жертвите влизат в реалния сайт на компанията, преминават през истински проверки за сигурност и дори успешно завършват многофакторна автентикация (MFA) – и въпреки това нападателите получават достъп.
Как работи схемата
Техниката е известна като „фишинг чрез код на устройство“ (device code phishing). Вместо да краде парола, тя подмамва потребителя сам да предостави достъп, използвайки напълно легитимната система за удостоверяване на Microsoft.
Компанията поддържа т.нар. „поток за оторизация на устройство“ (device authorization flow) – функция, която позволява вход чрез въвеждане на кратък код. Тя е особено полезна за устройства като смарт телевизори или системи с ограничен интерфейс, където стандартната страница за вход е неудобна.
В повечето случаи този процес е напълно безопасен. Проблемът възниква, когато бъде използван злонамерено.
Къде е пробивът
Атакуващият инициира заявка за вход от свое устройство, използвайки имейла на жертвата. Системата генерира легитимен код за достъп, обвързан с конкретната сесия.
Вместо да го използва сам, нападателят изпраща кода на жертвата – маскиран като сигнал за подозрителна активност, спешно известие за Microsoft 365, съобщение от Microsoft Teams или дори като вътрешна IT комуникация.
Потребителят е насочен към официалната страница за вход на Microsoft и инструктиран да въведе кода, за да „защити“ акаунта си. Страницата е истинска. Проверките са реални. MFA работи коректно.
Но с въвеждането на кода жертвата на практика удостоверява достъпа на нападателя.
Какво получава хакерът
След успешна автентикация системата издава т.нар. access token – маркер за достъп, който служи като доказателство, че входът вече е потвърден. С него нападателят може да получи достъп до услуги като Outlook, корпоративни акаунти в Teams или други свързани платформи.
В зависимост от целта това може да означава достъп до имейли, вътрешна фирмена комуникация, чувствителни документи и възможност за нулиране на пароли в други услуги.
Защо атаката е толкова ефективна
Този тип измама заобикаля класическите признаци на фишинг. Няма фалшива страница. Няма открадната парола. Всичко изглежда напълно легитимно, защото потребителят реално комуникира със системата на Microsoft.
Именно това прави схемата толкова трудна за разпознаване.
Как да се предпазите
Най-важната защита е разбирането как работи входът чрез код на устройство. Ако не сте инициирали лично заявка за такъв код, не въвеждайте получен код, дори да сте на официалния сайт.
Никоя легитимна компания няма да ви изпрати код и да ви инструктира да го въведете, за да „защитите“ профила си от чужда заявка. Ако получите подобно съобщение, проверете активността в акаунта си директно през официалните настройки за сигурност, без да следвате линкове от имейли или чатове.
В условията на все по-усъвършенствани атаки вниманието към детайлите остава най-силната защита.
