«Лаборатория Касперского» выявила весьма изощренную фишинговую кампанию, использующую инфраструктуру Microsoft, что делает совет перепроверять доменное имя излишним. В этой новой атаке злоумышленники предлагают жертвам вводить данные непосредственно на легитимном и доверенном корпоративном сайте — Microsoft Identity Platform, который поддерживает спецификацию OAuth 2.0 Device Authorization Grant.
По данным компании по кибербезопасности, этот протокол был разработан для упрощения входа в систему на смарт-телевизорах, устройствах IoT, принтерах и других устройствах с ограниченными возможностями ввода, где набор текста затруднен. Протокол требует от пользователей ввода одноразового кода на странице аутентификации, но он уязвим для фишинга с использованием кода устройства (Device Code Phishing).
«Лаборатория Касперского» сообщила, что отслеживала один из таких типов фишинговых кампаний в период с апреля по май этого года, когда злоумышленники рассылали электронные письма, стилизованные под уведомления от юридической фирмы. К письму был прикреплен PDF-файл, защищенный паролем. После того как жертва открывала PDF и вводила пароль для доступа к файлу, она видела несколько документов, которые можно было открыть, нажав на ссылку.
Злоумышленники утверждали, что для доступа к документам через поддельный сервис под названием LawConnect необходимо запросить одноразовый код доступа для «удобного доступа» к документам. При наведении курсора на кнопку можно увидеть легитимный URL-адрес для входа в систему Microsoft; однако этот URL сконструирован таким образом, чтобы перенаправить пользователя на фишинговый веб-сайт.
После прохождения нескольких CAPTCHA, которые, вероятно, были развернуты для остановки сканеров безопасности, пользователь перенаправляется на страницу, которая инструктирует его скопировать одноразовый код, а затем вставить его в легитимную форму ввода кода от Microsoft. Это дает доступ к приложению злоумышленника, которое ранее сгенерировало введенный пользователем код. По сути, вредоносное приложение получает доступ к учетной записи жертвы.
«Лаборатория Касперского» дает следующие рекомендации по защите от подобных фишинговых кампаний:
- Если вы не инициировали вход в систему на внешнем устройстве с использованием Microsoft Device Authorization Grant, не подтверждайте запрос на авторизацию.
- Никогда не вводите код авторизации, полученный по неожиданным электронным письмам или сообщениям, даже если предоставленная ссылка ведет непосредственно на официальный домен Microsoft.
- Злоумышленники часто используют открытые перенаправления на легитимных доменах, добавляя после знака вопроса (?) такие параметры, как redirect_uri, return_url или next, чтобы указать на вредоносный пункт назначения. Прежде чем нажимать на какую-либо ссылку, наведите на нее курсор, чтобы проверить как основной домен, так и любые подозрительные параметры перенаправления. После загрузки страницы убедитесь, что конечный URL-адрес соответствует ожидаемому ресурсу — это абсолютный минимум перед вводом корпоративных учетных данных.
Компания также рекомендует предприятиям оценить необходимость использования Device Code Flow в своей корпоративной инфраструктуре. Его следует глобально отключить с помощью политик условного доступа в Microsoft Entra ID, если это не является абсолютно необходимым. Также сообщается, что команды безопасности могут настроить специальный мониторинг событий DeviceCodeSignIn и должны строго контролировать состояния соответствия устройств. Рекомендуется также настраивать оповещения о подозрительном поведении при входе в систему, исходящем из необычных местоположений.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Paul Hill




