или што треба да знаете за device code phishing нападите
Kaspersky откри нова phishing кампања која користи целосно легитимна инфраструктура на Microsoft Identity Platform, што ја прави класичната проверка на доменот речиси бескорисна. Напаѓачите го злоупотребуваат механизмот OAuth 2.0 Device Authorization Grant, наменет за паметни телевизори, печатачи и IoT уреди, каде внесувањето на кориснички податоци е отежнато.
Phishing кампањата, која Kaspersky ја следел во периодот од април до мај, започнува со е-пошта што изгледа како допис од адвокатска канцеларија и содржи лозинка за отворање на PDF-документ. Откако жртвата ќе го отвори PDF-фајлот, ѝ се прикажува листа на документи за кои наводно е потребен пристап преку измислен сервис наречен „LawConnect“.

Клучниот трик – легитимен URL, злонамерно пренасочување
Копчето во PDF-документот за „лесен пристап“ до документите води до URL-адреса што навистина користи легитимен Microsoft домен за најава. Сепак, таа адреса е внимателно конструирана така што преку параметри го пренасочува корисникот кон phishing-страница, па тој практично сам се испраќа на лажната веб-локација.
CAPTCHA, код и преземање на корисничката сметка
Пред да стигне до формата за внесување код, жртвата поминува низ серија CAPTCHA-проверки, најверојатно за да се блокираат безбедносните скенери и автоматизираните ботови. На крајот се прикажува еднократен код со инструкции тој да се копира и внесе во легитимната Microsoft форма за внесување код. Со тоа, корисникот всушност ѝ одобрува пристап на апликација што е под контрола на напаѓачот.
Кога корисникот ќе го внесе еднократниот код во вистинската Microsoft страница за најава, злонамерната апликација добива пристап до неговата сметка, бидејќи токму таа претходно го генерирала кодот. На тој начин, напаѓачот преку сопствената апликација добива целосен OAuth-пристап до сметката на жртвата – без класична кражба на лозинка и, во многу случаи, со заобиколување на дополнителните MFA-проверки.
Совети од Kaspersky за обичните корисници
Kaspersky советува никогаш да не одобрувате Microsoft Device Authorization барање доколку лично не сте го иницирале на некој надворешен уред. Исто така, не треба да внесувате кодови за авторизација што сте ги добиле преку неочекувана е-пошта или порака, дури и кога линкот навистина води до официјален Microsoft домен.
На што да обрнете внимание кај URL-адресите
Напаѓачите често користат таканаречен „open redirect“ на легитимни домени, со параметри како redirect_uri, return_url или next по знакот прашалник (?). Пред да кликнете на линк, проверете го доменот и овие параметри. Откако страницата ќе се вчита, задолжително проверете дали конечната URL-адреса навистина одговара на очекуваната веб-локација пред да ги внесете вашите корпоративни кориснички податоци.
Kaspersky им препорачува на организациите да проценат дали воопшто им е потребен Device Code Flow. Доколку не е, треба целосно да се оневозможи преку Conditional Access политиките во рамките на Microsoft Entra ID. Безбедносните тимови, исто така, треба да воведат посебен мониторинг за DeviceCodeSignIn настаните, строго да ги применуваат политиките за усогласеност на уредите и да постават предупредувања за сомнителни најави од необични локации.