Οι φορείς απειλών στοχεύουν τώρα λογαριασμούς Microsoft 365 χρησιμοποιώντας μια αυξανόμενη μέθοδο επίθεσης γνωστή ως phishing κώδικα συσκευής OAuth.
Αυτή η τεχνική εκμεταλλεύεται τη ροή εξουσιοδότησης συσκευής OAuth 2.0, μια νόμιμη δυνατότητα της Microsoft που έχει σχεδιαστεί για συσκευές με περιορισμένες επιλογές εισόδου.
Οι εισβολείς εξαπατούν τους χρήστες να εισάγουν κωδικούς σε αυθεντικές σελίδες σύνδεσης της Microsoft, κάτι που τους παρέχει μη εξουσιοδοτημένη πρόσβαση σε λογαριασμούς M365.
Μόλις μπουν μέσα, οι χάκερ μπορούν να κατακτήσουν λογαριασμούς, να κλέψουν ευαίσθητα δεδομένα και να μετακινηθούν σε δίκτυα.
Πολλαπλές ομάδες απειλών βρίσκονται πίσω από αυτές τις επιθέσεις, που κυμαίνονται από εγκληματίες με οικονομικά κίνητρα μέχρι χάκερ που υποστηρίζονται από το κράτος.
Χρησιμοποιούν μηνύματα phishing με διευθύνσεις URL ενσωματωμένες σε κουμπιά, υπερσυνδέσμους ή κωδικούς QR για να ξεκινήσουν την επίθεση.
.webp "Χάκερ που χρησιμοποιούν εργαλεία ηλεκτρονικού ψαρέματος για πρόσβαση σε λογαριασμούς M365 μέσω κωδικού συσκευής OAuth")
Όταν τα θύματα κάνουν κλικ σε αυτούς τους συνδέσμους, προσγειώνονται σε ψεύτικες σελίδες που εμφανίζουν κωδικούς συσκευών. Αυτοί οι κωδικοί είναι μεταμφιεσμένοι ως κωδικοί πρόσβασης μίας χρήσης ή διακριτικά ασφαλείας, ωθώντας τους χρήστες να τους εισαγάγουν στη νόμιμη σελίδα επαλήθευσης της Microsoft στη διεύθυνση microsoft.com/devicelogin.
Μέχρι τον Σεπτέμβριο του 2025, αυτές οι εκστρατείες έγιναν ευρέως διαδεδομένες, σημειώνοντας μια απότομη αύξηση από προηγούμενες στοχευμένες επιθέσεις.
Ερευνητές απόδειξης αναγνωρισθείς δύο βασικά εργαλεία που οδηγούν αυτές τις καμπάνιες. Το SquarePhish2, μια ενημερωμένη έκδοση ενός παλαιότερου πλαισίου phishing, αυτοματοποιεί τη διαδικασία εξουσιοδότησης συσκευής OAuth χρησιμοποιώντας κωδικούς QR και διακομιστές που ελέγχονται από τους εισβολείς.
Το εργαλείο στέλνει στα θύματα ένα ψεύτικο email ελέγχου ταυτότητας, ακολουθούμενο από ένα δεύτερο μήνυμα που περιέχει τον κωδικό της συσκευής.
Η εύκολη εγκατάσταση του επιτρέπει σε ακόμη λιγότερο εξειδικευμένους εισβολείς να εκτελούν επιχειρήσεις μεγάλης κλίμακας. Το κιτ ψαρέματος Graphish λειτουργεί διαφορετικά δημιουργώντας ψεύτικες σελίδες σύνδεσης μέσω των Εγγραφών εφαρμογών Azure και των διακομιστών μεσολάβησης ανάστροφου.
.webp.jpeg "Χάκερ που χρησιμοποιούν εργαλεία ηλεκτρονικού ψαρέματος για πρόσβαση σε λογαριασμούς M365 μέσω κωδικού συσκευής OAuth")
Αυτή η προσέγγιση επιτρέπει επιθέσεις αντιπάλου στη μέση που καταγράφουν τόσο τα διαπιστευτήρια σύνδεσης όσο και τα διακριτικά περιόδου λειτουργίας όταν οι χρήστες ολοκληρώνουν προκλήσεις ελέγχου ταυτότητας πολλαπλών παραγόντων.
Ροή εργασιών επίθεσης και τεχνική εκτέλεση
Η επίθεση ξεκινά όταν οι χρήστες λαμβάνουν μηνύματα ηλεκτρονικού ψαρέματος που φαίνεται να είναι ειδοποιήσεις κοινής χρήσης εγγράφων ή ειδοποιήσεις ασφαλείας λογαριασμού. Αυτά τα μηνύματα προέρχονται από παραβιασμένες διευθύνσεις email ή τομείς ελεγχόμενους από εισβολείς που έχουν σχεδιαστεί για να φαίνονται νόμιμοι.
Κάνοντας κλικ στον ενσωματωμένο σύνδεσμο ανακατευθύνει τα θύματα σε μια σελίδα phishing που μιμείται τις υπηρεσίες της Microsoft. Η σελίδα ζητά από τους χρήστες να εισαγάγουν τη διεύθυνση email τους, η οποία ενεργοποιεί τη ροή εξουσιοδότησης συσκευής OAuth στην υποδομή της Microsoft.
Στη συνέχεια δημιουργείται ένας μοναδικός κωδικός συσκευής και εμφανίζεται στην ψεύτικη σελίδα. Ο χρήστης λαμβάνει οδηγίες για να επισκεφθεί τη microsoft.com/devicelogin και να εισαγάγει αυτόν τον κωδικό.
Δεδομένου ότι αυτή είναι η πραγματική πύλη ελέγχου ταυτότητας της Microsoft, οι χρήστες συχνά εμπιστεύονται τη διαδικασία. Μόλις εισαγάγουν τον κωδικό και πραγματοποιήσουν έλεγχο ταυτότητας, η εφαρμογή του εισβολέα πραγματοποιεί δημοσκοπήσεις στους διακομιστές της Microsoft και λαμβάνει ένα διακριτικό πρόσβασης.
Αυτό το διακριτικό παρέχει στον παράγοντα απειλής πλήρη έλεγχο του λογαριασμού M365 του θύματος. Η όλη διαδικασία εκμεταλλεύεται τις νόμιμες υπηρεσίες της Microsoft, καθιστώντας τον εντοπισμό εξαιρετικά δύσκολο μέσω παραδοσιακών μέτρων ασφαλείας.
Οι αναλυτές του Proofpoint παρατήρησαν ότι ο παράγοντας απειλών TA2723, μια ομάδα με οικονομικά κίνητρα, γνωστή για το ψάρεμα διαπιστευτηρίων μεγάλου όγκου, άρχισε να χρησιμοποιεί επιθέσεις κωδικών συσκευών OAuth τον Οκτώβριο του 2025.
Η ομάδα έστειλε μηνύματα ηλεκτρονικού ταχυδρομείου που ισχυριζόταν ότι περιείχαν έγγραφα μισθού με διευθύνσεις URL που οδηγούσαν σε σελίδες εξουσιοδότησης κωδικών συσκευής.
Παράγοντες που ευθυγραμμίζονται με το κράτος έχουν επίσης υιοθετήσει αυτήν την τεχνική, με την ύποπτη ομάδα ευθυγραμμισμένη με τη Ρωσία UNK_AcademicFlare να διεξάγει εξελιγμένες εκστρατείες κοινωνικής μηχανικής.
.webp.jpeg "Χάκερ που χρησιμοποιούν εργαλεία ηλεκτρονικού ψαρέματος για πρόσβαση σε λογαριασμούς M365 μέσω κωδικού συσκευής OAuth")
Χρησιμοποιούν παραβιασμένες κυβερνητικές διευθύνσεις ηλεκτρονικού ταχυδρομείου για να οικοδομήσουν εμπιστοσύνη πριν στείλουν διευθύνσεις URL του Cloudflare Worker που πλαστογραφούν λογαριασμούς OneDrive.
Αυτές οι διευθύνσεις URL ανακατευθύνουν τα θύματα σε ροές εργασίας ηλεκτρονικού ψαρέματος κώδικα συσκευών που έχουν σχεδιαστεί για την κλοπή διαπιστευτηρίων από κυβερνητικούς αξιωματούχους, ερευνητές δεξαμενών σκέψης και πανεπιστημιακό προσωπικό.
Οι οργανισμοί μπορούν να αμυνθούν από αυτές τις επιθέσεις δημιουργώντας πολιτικές πρόσβασης υπό όρους που αποκλείουν πλήρως τις ροές ελέγχου ταυτότητας κώδικα συσκευής ή τις περιορίζουν σε εγκεκριμένους χρήστες και εύρη IP.
Η απαίτηση σύνδεσης από συμβατές ή καταχωρημένες συσκευές αποτρέπει επίσης τη μη εξουσιοδοτημένη πρόσβαση. Η εκπαίδευση των χρηστών πρέπει να μετατοπιστεί από την παραδοσιακή επίγνωση του phishing στην έμφαση στον κίνδυνο εισαγωγής κωδικών συσκευών από μη αξιόπιστες πηγές.
Η κατάχρηση των νόμιμων μηχανισμών ελέγχου ταυτότητας δείχνει πώς οι φορείς απειλών συνεχίζουν να προσαρμόζουν τις τακτικές τους για να παρακάμψουν τους σύγχρονους ελέγχους ασφαλείας.
