Мошенники и хакерские группировки массово используют новый способ кражи учётных записей Microsoft 365. Особенность атаки в том, что жертва сама предоставляет доступ к своему аккаунту, используя официальный механизм авторизации.
Cхема
- Вместо кражи паролей злоумышленники убеждают пользователя пройти процедуру входа через OAuth Device Code Flow — этот способ Microsoft разработала для устройств с ограниченным вводом (например, телевизоров).
- Жертве приходит письмо, ссылка или QR-код с сообщением о новом документе, премии, корпоративных льготах или необходимости повторной авторизации.
- Перейдя по ссылке, пользователь попадает на поддельный сайт, где ему выдают специальный код и инструкцию ввести его на официальной странице Microsoft.
- После ввода кода злоумышленники получают токен доступа и полный контроль над учётной записью.
- Жертве приходит письмо, ссылка или QR-код с сообщением о новом документе, премии, корпоративных льготах или необходимости повторной авторизации.
- Перейдя по ссылке, пользователь попадает на поддельный сайт, где ему выдают специальный код и инструкцию ввести его на официальной странице Microsoft.
- После ввода кода злоумышленники получают токен доступа и полный контроль над учётной записью.
По данным специалистов Proofpoint, с сентября 2025 года число таких атак резко увеличилось. Если раньше подобные методы использовались редко и точечно, то теперь их применяют сразу несколько группировок.
Будьте внимательны: не вводите коды авторизации по просьбе из подозрительных писем и всегда проверяйте адрес отправителя.
Одна из самых масштабных атак была связана с рассылкой писем с темой «Salary Bonus + Employer Benefits Reports 25». Пользователям предлагали открыть документ с информацией о премиях и льготах. Ссылка вела на фальшивый корпоративный портал, где после ввода электронной почты появлялось окно с «кодом многофакторной аутентификации». Жертву перенаправляли на официальную страницу Microsoft для подтверждения входа, и ввод кода фактически передавал управление аккаунтом злоумышленникам.
В октябре 2025 года группировка TA2723 применила похожую тактику: письма якобы содержали обновлённую зарплатную ведомость. После перехода по ссылке пользователь попадал на страницу генерации одноразового кода, а затем — на сервис Microsoft для подтверждения доступа.
Специалисты Proofpoint отмечают рост числа атак, связанных с государственными структурами. С января 2025 года фиксируются кампании кибершпионажа с использованием схемы device code phishing. Одна из таких групп, UNK_AcademicFlare, с сентября 2025 года взламывала почтовые ящики госорганизаций и военных ведомств, чтобы рассылать письма университетам, аналитическим центрам и транспортным компаниям в США и Европе. Сначала велась безобидная переписка, а затем жертве предлагали ознакомиться с документом по ссылке, ведущей на поддельный OneDrive. Пользователя просили скопировать код и подтвердить вход на официальном портале Microsoft.
В результате атаки злоумышленники получают полный доступ к почте и данным Microsoft 365, что позволяет им красть документы, закрепляться в инфраструктуре компании, перемещаться по внутренней сети и проводить новые атаки от имени взломанного пользователя.
Proofpoint прогнозирует рост популярности подобных схем, особенно на фоне перехода компаний на беспарольную аутентификацию и методы входа на основе FIDO. Компания рекомендует по возможности отключать авторизацию через device code flow, ограничивать список разрешённых устройств и обучать сотрудников не вводить коды авторизации, полученные из подозрительных писем.
Будьте внимательны: не вводите коды авторизации по просьбе из подозрительных писем и всегда проверяйте адрес отправителя.
Одна из самых масштабных атак была связана с рассылкой писем с темой «Salary Bonus + Employer Benefits Reports 25». Пользователям предлагали открыть документ с информацией о премиях и льготах. Ссылка вела на фальшивый корпоративный портал, где после ввода электронной почты появлялось окно с «кодом многофакторной аутентификации». Жертву перенаправляли на официальную страницу Microsoft для подтверждения входа, и ввод кода фактически передавал управление аккаунтом злоумышленникам.
В октябре 2025 года группировка TA2723 применила похожую тактику: письма якобы содержали обновлённую зарплатную ведомость. После перехода по ссылке пользователь попадал на страницу генерации одноразового кода, а затем — на сервис Microsoft для подтверждения доступа.
Специалисты Proofpoint отмечают рост числа атак, связанных с государственными структурами. С января 2025 года фиксируются кампании кибершпионажа с использованием схемы device code phishing. Одна из таких групп, UNK_AcademicFlare, с сентября 2025 года взламывала почтовые ящики госорганизаций и военных ведомств, чтобы рассылать письма университетам, аналитическим центрам и транспортным компаниям в США и Европе. Сначала велась безобидная переписка, а затем жертве предлагали ознакомиться с документом по ссылке, ведущей на поддельный OneDrive. Пользователя просили скопировать код и подтвердить вход на официальном портале Microsoft.
В результате атаки злоумышленники получают полный доступ к почте и данным Microsoft 365, что позволяет им красть документы, закрепляться в инфраструктуре компании, перемещаться по внутренней сети и проводить новые атаки от имени взломанного пользователя.
Proofpoint прогнозирует рост популярности подобных схем, особенно на фоне перехода компаний на беспарольную аутентификацию и методы входа на основе FIDO. Компания рекомендует по возможности отключать авторизацию через device code flow, ограничивать список разрешённых устройств и обучать сотрудников не вводить коды авторизации, полученные из подозрительных писем.