Исследователи из компании Proofpoint обнаружили хитроумную фишинговую кампанию, в которой киберпреступники научились обходить многофакторную аутентификацию. Вместо традиционных фишинговых страниц они создают поддельные приложения Microsoft OAuth — те самые, которые обычно используются для интеграции с Microsoft 365, Teams, OneDrive и другими облачными сервисами. При этом внешне эти приложения выглядят вполне легитимно: знакомые логотипы, аккуратные формулировки, имена, вызывающие доверие — SharePoint, DocuSign, Adobe.
Жертве приходит письмо с предложением авторизовать доступ. На первый взгляд — ничего подозрительного. Запрашиваются стандартные разрешения, вроде доступа к профилю или файлам. Пользователь нажимает «Принять», и в этот момент запускается схема, в которой задействованы целые фишинговые комплекты. Жертва попадает на поддельную страницу входа Microsoft — через CAPTCHA, чтобы исключить автоматическое сканирование. После ввода логина и пароля происходит перехват не только данных, но и токенов OAuth, благодаря которым злоумышленник получает устойчивый доступ к почте, файлам, Teams и другим сервисам.
Главная угроза здесь в том, что даже если пользователь сменит пароль, атака уже состоялась. Токен продолжает действовать, пока его вручную не отзовут. Получив однажды разрешение, злоумышленник может неделями оставаться в облачной среде, не вызывая подозрений. Он может собирать информацию, перемещаться между системами, отправлять письма от лица жертвы, запускать новую волну фишинга или устанавливать вредоносное ПО.
Proofpoint подчёркивает, что в рамках этой кампании было скомпрометировано более 50 известных брендов. Фальшивые приложения распространялись массово — тысячи писем уходили с уже захваченных корпоративных адресов. Microsoft в курсе ситуации: компания получила уведомление в начале 2025 года и пообещала изменить настройки по умолчанию в Microsoft 365. Эти изменения начали внедряться в июле и, как ожидается, вступят в силу в полном объёме к августу 2025 года. Предполагается, что новые меры ограничат возможность предоставления доступа сторонним приложениям без дополнительной проверки.
Тем временем Proofpoint призывает компании внимательнее относиться к безопасности своих облачных сред. Подчёркивается важность фильтрации писем, ограничения разрешений OAuth, информирования сотрудников о новых типах фишинга и, по возможности, использования физических ключей безопасности. Также были опубликованы отпечатки вредоносных приложений и инструменты для их обнаружения — они помогут тем, кто хочет защититься проактивно.
Всё это — напоминание о том, что даже продвинутые методы защиты, такие как MFA, не всегда становятся преградой для злоумышленников. И что доверие к бренду — это то, чем преступники всё чаще и всё искуснее учатся пользоваться в своих интересах.