Эксперт «Группы Астра» Анатолий Лысов, менеджер продукта ALD Pro, прокомментировал фишинговую схему, использующую механизм Microsoft Device Code Flow. Такая атака позволяет получить доступ к корпоративным учетным записям без прямой кражи пароля.
Схема строится вокруг легитимного механизма OAuth2, который обычно применяется для входа с устройств с ограниченным вводом, например с игровых приставок или Smart TV. Пользователь видит доверенную страницу Microsoft и вводит одноразовый код, заранее созданный злоумышленниками. После этого атакующие получают сессионные токены.
При успешной атаке злоумышленники могут читать почту, отправлять сообщения от имени жертвы и получать доступ к файлам и переписке в корпоративных сервисах. По данным, приведенным в письме, кампания наблюдалась с начала апреля до середины мая 2026 года и была замаскирована под уведомления юридической фирмы.
Анатолий Лысов отмечает, что защита учетных записей требует комплексного подхода. В него входят служба каталога, многофакторная аутентификация, PAM, ITDR и регулярное обучение сотрудников цифровой гигиене.
Главный риск подобных атак в том, что пользователь взаимодействует не с очевидно поддельной страницей, а с привычным доверенным сервисом. Поэтому контроль доступа и проверка необычных сценариев авторизации становятся отдельной частью корпоративной безопасности.



