Эксперты «Лаборатории Касперского» обнаружили фишинговую кампанию, в которой хакеры используют механизм авторизации Microsoft — Device Authorization Grant. Кибератаки наблюдалась с начала апреля по середину мая 2026 г., а целью были получение токенов учетной записи пользователей-жертв для последующей ИТ-компрометации корпоративных данных.
07 Июля 2026 15:03 07 Июл 2026 15:03 |
Эксперты «Лаборатории Касперского» обнаружили фишинговую кампанию, в которой хакеры используют механизм авторизации Microsoft — Device Authorization Grant. Кибератаки наблюдалась с начала апреля по середину мая 2026 г., а целью были получение токенов учетной записи пользователей-жертв для последующей ИТ-компрометации корпоративных данных.
Новая фишинговая кампания, злоупотребляющая механизмом авторизации Microsoft Device Authorization Grant (Device Code Flow), позволяет хакерам получать доступ к корпоративным учетным записям без кражи логинов и паролей, об этом CNews сообщили представители «Лаборатории Касперского».
Device Code Flow (OAuth 2.0) — это метод авторизации, который позволяет входить в приложения на устройствах, где неудобно или невозможно вводить логин и пароль (например, смарт-ТВ, игровые приставки, принтеры или утилиты командной строки).
По данным «Лаборатории Касперского», кибератаки проводились с апреля по май 2026 г. и были тщательно замаскированы под уведомления от юридических фирм. Пользователи получали электронные письма с защищенным паролем PDF-файлом. После открытия документа жертве предлагалось перейти по ссылке для просмотра якобы важных материалов.
Несмотря даже на то, что ссылка формально вела на легитимный домен Microsoft, через механизм переадресации пользователь попадал на фишинговый сайт, имитирующий портал для просмотра юридических документов, предупредили эксперты по кибербезопасности.
Хакеры взламывают корпоративный Microsoft без логина и пароля
После прохождения нескольких CAPTCHA пользователю предлагалось скопировать одноразовый код, заранее сгенерированный хакерами, и ввести его на официальной странице Microsoft, завершив тем самым процесс многофакторной аутентификации. Таким образом, жертва самостоятельно подтверждала доступ атакующих к своей учетной записи.
Получив токены текущей сессии, злоумышленники получали возможность читать электронную почту пользователя-жертвы, отправлять письма от ее имени, получать доступ к файлам в Microsoft OneDrive, а также просматривать переписку в Microsoft Teams.
«Злоумышленники не всегда прибегают к вредоносному программному обеспечению (ПО) или краже логинов и паролей для получения доступа к конфиденциальной информации — все чаще они злоупотребляют легитимными ИТ-инструментами и механизмами авторизации, — отметил CNews эксперт по кибербезопасности «Лаборатории Касперского» Роман Деденок. — Поэтому российским пользователям необходимо проявлять бдительность не только при посещении подозрительных сайтов, но и при работе с официальными ИТ-платформами».
Дополнительную защиту от кибератак такого рода помогут обеспечить надежные ИТ-решения для защиты электронной почты, гарантирующие безопасность корпоративной и личной переписки.
После официального запуска предзаказов на популярную видеоигру Grand Theft Auto (GTA) VI, появились многочисленные мошеннические схемы, использующие ажиотаж вокруг этого события, об этом CNews также сообщили представители «Лаборатории Касперского» в июле 2026 г. Эксперты фиксируют самые разные легенды для обмана пользователей — от поддельных страниц с предзаказами до поиска ИТ-тестировщиков будущей игры из стран Содружества Независимых Государств (СНГ).
Специалисты «Лаборатории Касперского» обнаружили мошеннический сайт на русском языке, анонсирующий поиск ИТ-тестировщиков для ранней версии GTA VI среди жителей стран СНГ. На интернет-странице сообщается, что энтузиастов ищут среди «активных геймеров, готовых делиться фидбеком и участвовать в закрытых сессиях».
Для участия в тестировании пользователям предлагается подписаться на закрытый Telegram-канал, где с большей долей вероятности будут вовлекать в дальнейшие схемы обмана уже через мессенджер.