Съдържание на статията
Дебне нова сериозна опасност
Нови данни на Barracuda Networks показват рязък ръст на device code фишинга и данните са повече от притеснителни, защото само за четири седмици са засечени седем милиона атаки. В основата на тази вълна стои фишинг комплектът EvilTokens, насочен към Microsoft 365 и Entra ID среди.
Device code фишингът използва OAuth 2.0 механизма за удостоверяване чрез кратък код, който потребителят въвежда на доверено устройство. Този метод е създаден за устройства с ограничен интерфейс като телевизори, принтери, CLI инструменти, но атакуващите го превръщат в начин за получаване на легитимен, дълготраен достъп.
Как работи атаката
Атакуващият първо заявява реален device code от Microsoft. След това изпраща фишинг съобщение, което убеждава жертвата да въведе този код в напълно легитимна страница за вход.
Тъй като процесът използва истински Microsoft линкове, няма подозрителни URL адреси, които филтрите да блокират. Жертвата на практика сама авторизира ново устройство, което позволява на атакуващия да заобиколи MFA и правилата за условен достъп.
След успешното въвеждане на кода Microsoft издава OAuth access и refresh token, като и двата попадат директно при атакуващия. Refresh token‑ът може да осигури достъп за дни или седмици, дори след смяна на паролата.
Защо този метод е толкова ефективен
Device code фишингът комбинира няколко предимства, защото използва легитимни домейни и URL адреси, заобикаля многофакторната автентикация, осигурява дълготраен достъп чрез refresh token и за капак на всичко трудно се засича от традиционни филтри
Това го прави особено опасен за корпоративни среди, където Microsoft 365 и Entra ID са критични за ежедневната работа.
Как да се намали рискът
Експертите препоръчват многослойна защита: усъвършенствано филтриране на имейли, механизми за защита на идентичността, непрекъснат мониторинг и строги правила за авторизация на устройства.
Също толкова важно е потребителите да бъдат обучени да въвеждат кодове само в контекст, който сами са инициирали, а не след получено съобщение или линк.
Повече за атакатаможете да научите от блога на Barracuda.
