Многие годы мы внедряли многофакторную аутентификацию (MFA) как ультимативное решение против кражи аккаунтов. Однако последние данные показывают: злоумышленники научились не взламывать MFA, а просто обходить его, используя стандартные механизмы самой Microsoft.
С марта 2026 года фиксируется всплеск атак (от 10 до 15 кампаний в сутки), направленных на захват корпоративных почтовых ящиков. Основной инструмент — набор EvilTokens, который автоматизирует обход защиты через механизм «входа по коду устройства».
В чем суть «дыры»?
Проблема не в технической ошибке, а в архитектуре протокола Device Code Flow. Он создавался для устройств без клавиатуры (умных телевизоров, принтеров), где вы вводите короткий код на странице microsoft.com/devicelogin.
Как это используют хакеры:
1. Подготовка: ИИ анализирует почту сотрудников и создает идеальное фишинговое письмо (счет, контракт, запрос).
2. Ловушка: Ссылка ведет на страницу, которая имитирует окно браузера и просит «подтвердить личность», введя код на официальном сайте Microsoft.
3. Обход защиты: Поскольку пользователь сам вводит код на настоящем сайте Microsoft, система считает это доверенным действием. MFA при этом не запрашивается или считается уже пройденным.
Результат: Хакер получает токен доступа и «прописывается» в системе как новое доверенное устройство.
Статистика показывает, что атакующих больше всего интересуют сотрудники финансовых отделов. Сценарий после взлома автоматизирован: хакеры за 10 минут настраивают скрытую пересылку писем со словами «оплата», «счет» или «премия», чтобы в нужный момент подменить реквизиты или перехватить транзакцию.
Чтобы не стать частью статистики «сотен взломов в день», стоит пересмотреть подход к безопасности по трем направлениям:
1. Технические ограничения (Принцип «закручивания гаек»)
Самый эффективный способ — полностью отключить протокол Device Code Flow в настройках Microsoft Entra ID (Azure AD). В 99% случаев офисным сотрудникам он не нужен. Если же принтерам или ТВ нужен доступ, разрешите его только для конкретных IP-адресов офиса.
2. Настройка «умного» доступа
Внедрите политики, которые проверяют не только пароль, но и контекст. Например: «разрешать вход в бухгалтерию только с рабочих ноутбуков, которые находятся в России». Даже если хакер выманит код у сотрудника, он не сможет зайти в систему со своего компьютера из другой страны.
3. Новые акценты в обучении
Классические советы «проверяй адрес отправителя» здесь работают плохо, так как хакеры используют легитимные сервисы. Обучение сотрудников нужно сфокусировать на двух моментах:
- Если вы работаете за обычным компьютером, запрос «введите код устройства» — это 100% атака.
- При вводе кода Microsoft всегда пишет название приложения. Если вместо «Outlook» там написано что-то странное — нужно немедленно прекратить вход.
Подобные атаки опасны тем, что они выглядит как штатная работа системы. В условиях 2026 года безопасность — это не просто наличие MFA, а понимание того, какие именно двери в вашей инфраструктуре остались открытыми «для удобства», и своевременное их закрытие.