Коротко: В июле 2026 года «Лаборатория Касперского» предупредила о фишинговой кампании, которая злоупотребляет легитимным механизмом Microsoft — Device Authorization Grant (Device Code Flow). Жертва оказывается на настоящей странице login.microsoftonline.com и просто вводит короткий код, но злоумышленник получает токены доступа к аккаунту — без пароля, и даже двухфакторная аутентификация не спасает. Главная защита — никогда не вводить код устройства, который прислал кто-то другой.
Что произошло
7 июля 2026 года эксперты «Лаборатории Касперского» в разборе на Securelist описали фишинговую кампанию, эксплуатирующую механизм Microsoft Device Authorization Grant для захвата корпоративных аккаунтов. Материал разошёлся по российским изданиям, включая CNews и профильную прессу. Особенность случая в том, что привычный совет «проверяйте адресную строку» здесь не работает: жертва действительно находится на домене Microsoft. Общий разбор того, как устроен фишинг, — в нашем гайде как защитить аккаунт от взлома.
Что такое Device Code Flow и почему им злоупотребляют?
Device Authorization Grant — легитимный способ входа, придуманный для устройств с неудобным вводом: умных телевизоров, IoT-девайсов, принтеров, приставок. Устройство показывает короткий код, а вы подтверждаете его с телефона или ноутбука на странице devicelogin Microsoft. Загвоздка в том, что код не привязан к тому, кто его запросил. Если процесс запустил злоумышленник и заставил вас ввести его код, Microsoft привяжет ваш аккаунт к сессии злоумышленника.
Как работает атака по шагам?
Кампания начиналась с письма, стилизованного под уведомление юридической фирмы, с защищённым паролем PDF-файлом. Ссылка вела на легитимный адрес Microsoft, но использовала переадресацию, которая перебрасывала жертву на фишинговый портал, имитирующий просмотрщик юридических документов. После нескольких CAPTCHA пользователю предлагалось скопировать одноразовый код — заранее сгенерированный злоумышленниками при запуске процесса авторизации — и ввести его на настоящей странице Microsoft. После подтверждения сервер злоумышленника, опрашивавший токен-эндпоинт Microsoft, получал access_token, refresh_token и id_token.
Что злоумышленники могут сделать с токенами?
С этими токенами взломщик может читать и отправлять письма из почтового ящика жертвы, добираться до файлов OneDrive и сообщений в Teams — так и не узнав пароль. Поскольку выдаётся действующий токен сессии, обычная двухфакторная аутентификация обходится, а refresh-токен даёт постоянный доступ, пока его не отозвали. Именно поэтому один захваченный аккаунт может стать точкой входа в переписку всей компании. Как отдельно защитить почту — в нашем разборе как защитить электронную почту от взлома.
Как защититься?
Никогда не вводите код устройства, который вы не запрашивали. Код, пришедший в письме, чате или по телефону, — тревожный сигнал. Легитимный вход устройства начинается на самом устройстве — телевизоре или приставке, — а не по ссылке из сообщения.
Не доверяйте одному лишь настоящему домену. Эта атака доказывает: подлинная страница microsoft.com не гарантирует безопасности. Прежде чем подтвердить любой вход, спросите себя, какое устройство его на самом деле запросило.
Включайте и не отключайте двухфакторную аутентификацию. От этого конкретного трюка она не спасёт, но блокирует куда более частые атаки на пароль. Сочетайте её с внимательностью, а не полагайтесь только на неё.
Для организаций: ограничьте Device Code Flow. Если компании этот механизм не нужен, отключите Device Authorization Grant через политики Conditional Access — это закрывает весь класс атаки.
Причём здесь VPN?
Будем честны о границах: VPN не помешает вам ввести код злоумышленника на настоящей странице Microsoft — от этого защищает только правило «не вводить непрошеные коды». Что VPN действительно закрывает — сетевой уровень: он шифрует трафик в недоверенных Wi-Fi, чтобы сессии входа и токены нельзя было перехватить по пути, и скрывает реальный IP, сокращая данные, по которым под вас подбирают убедительную приманку. Как это устроено у LiMP VPN, смотрите в описании возможностей, а тариф выбирайте на странице цен. Это один из слоёв защиты, а не замена бдительности.
Источники
Материал основан на исследовании «Лаборатории Касперского» / Securelist и его освещении CNews и «Хакером» (июль 2026).
