Перейти к основному контенту
LiMP VPN
Все новости

Фишинг ворует вход в Microsoft без пароля

Фишинг ворует вход в Microsoft без пароля

Коротко: В июле 2026 года «Лаборатория Касперского» предупредила о фишинговой кампании, которая злоупотребляет легитимным механизмом Microsoft — Device Authorization Grant (Device Code Flow). Жертва оказывается на настоящей странице login.microsoftonline.com и просто вводит короткий код, но злоумышленник получает токены доступа к аккаунту — без пароля, и даже двухфакторная аутентификация не спасает. Главная защита — никогда не вводить код устройства, который прислал кто-то другой.

Что произошло

7 июля 2026 года эксперты «Лаборатории Касперского» в разборе на Securelist описали фишинговую кампанию, эксплуатирующую механизм Microsoft Device Authorization Grant для захвата корпоративных аккаунтов. Материал разошёлся по российским изданиям, включая CNews и профильную прессу. Особенность случая в том, что привычный совет «проверяйте адресную строку» здесь не работает: жертва действительно находится на домене Microsoft. Общий разбор того, как устроен фишинг, — в нашем гайде как защитить аккаунт от взлома.

Что такое Device Code Flow и почему им злоупотребляют?

Device Authorization Grant — легитимный способ входа, придуманный для устройств с неудобным вводом: умных телевизоров, IoT-девайсов, принтеров, приставок. Устройство показывает короткий код, а вы подтверждаете его с телефона или ноутбука на странице devicelogin Microsoft. Загвоздка в том, что код не привязан к тому, кто его запросил. Если процесс запустил злоумышленник и заставил вас ввести его код, Microsoft привяжет ваш аккаунт к сессии злоумышленника.

Как работает атака по шагам?

Кампания начиналась с письма, стилизованного под уведомление юридической фирмы, с защищённым паролем PDF-файлом. Ссылка вела на легитимный адрес Microsoft, но использовала переадресацию, которая перебрасывала жертву на фишинговый портал, имитирующий просмотрщик юридических документов. После нескольких CAPTCHA пользователю предлагалось скопировать одноразовый код — заранее сгенерированный злоумышленниками при запуске процесса авторизации — и ввести его на настоящей странице Microsoft. После подтверждения сервер злоумышленника, опрашивавший токен-эндпоинт Microsoft, получал access_token, refresh_token и id_token.

Что злоумышленники могут сделать с токенами?

С этими токенами взломщик может читать и отправлять письма из почтового ящика жертвы, добираться до файлов OneDrive и сообщений в Teams — так и не узнав пароль. Поскольку выдаётся действующий токен сессии, обычная двухфакторная аутентификация обходится, а refresh-токен даёт постоянный доступ, пока его не отозвали. Именно поэтому один захваченный аккаунт может стать точкой входа в переписку всей компании. Как отдельно защитить почту — в нашем разборе как защитить электронную почту от взлома.

Как защититься?

Никогда не вводите код устройства, который вы не запрашивали. Код, пришедший в письме, чате или по телефону, — тревожный сигнал. Легитимный вход устройства начинается на самом устройстве — телевизоре или приставке, — а не по ссылке из сообщения.

Не доверяйте одному лишь настоящему домену. Эта атака доказывает: подлинная страница microsoft.com не гарантирует безопасности. Прежде чем подтвердить любой вход, спросите себя, какое устройство его на самом деле запросило.

Включайте и не отключайте двухфакторную аутентификацию. От этого конкретного трюка она не спасёт, но блокирует куда более частые атаки на пароль. Сочетайте её с внимательностью, а не полагайтесь только на неё.

Для организаций: ограничьте Device Code Flow. Если компании этот механизм не нужен, отключите Device Authorization Grant через политики Conditional Access — это закрывает весь класс атаки.

Причём здесь VPN?

Будем честны о границах: VPN не помешает вам ввести код злоумышленника на настоящей странице Microsoft — от этого защищает только правило «не вводить непрошеные коды». Что VPN действительно закрывает — сетевой уровень: он шифрует трафик в недоверенных Wi-Fi, чтобы сессии входа и токены нельзя было перехватить по пути, и скрывает реальный IP, сокращая данные, по которым под вас подбирают убедительную приманку. Как это устроено у LiMP VPN, смотрите в описании возможностей, а тариф выбирайте на странице цен. Это один из слоёв защиты, а не замена бдительности.

Источники

Материал основан на исследовании «Лаборатории Касперского» / Securelist и его освещении CNews и «Хакером» (июль 2026).

Фишинг ворует вход в Microsoft без пароля | LiMP VPN