Новая фишинговая кампания, злоупотребляющая механизмом авторизации Microsoft Device Authorization Grant (Device Code Flow), позволяет злоумышленникам получить доступ к корпоративным учетным записям без кражи логинов и паролей. Об этом «Газете.Ру» сообщили в «Лаборатории Касперского».
После прохождения нескольких CAPTCHA пользователю было предложено скопировать ранее сгенерированный злоумышленниками одноразовый код, а затем ввести его на официальной странице Microsoft, завершив процесс многофакторной аутентификации. Таким образом, потерпевшая самостоятельно подтвердила доступ злоумышленников к своему аккаунту.
Получив токены текущей сессии, злоумышленники могли читать электронную почту, отправлять письма от имени пользователя, получать доступ к файлам в Microsoft OneDrive и просматривать переписку в Microsoft Teams.
"Злоумышленники не всегда используют вредоносное ПО или крадут логины и пароли для получения доступа к конфиденциальной информации, они все чаще злоупотребляют легитимными инструментами и механизмами авторизации. Поэтому пользователям необходимо проявлять бдительность не только при посещении подозрительных сайтов, но и при работе с официальными платформами", - заявил эксперт по кибербезопасности "Лаборатории Касперского" Роман Деденок.