В 2026 году наблюдается экспоненциальный рост сложной формы фишинга, использующей легитимный протокол OAuth 2.0: количество атак увеличилось в 37,5 раз по сравнению с предыдущими базовыми показателями. Эта техника, известная как фишинг кода устройства, использует уязвимость в механизме Device Authorization Grant Flow — механизме, предназначенном для входа пользователей в сервисы на оборудовании с ограниченными возможностями ввода, таком как смарт-телевизоры, игровые консоли или устройства IoT. В таких атаках злоумышленники инициируют запрос авторизации устройства у поставщика услуг (например, Microsoft Entra ID) для создания уникального короткоживущего кода. Затем они с помощью социальной инженерии, часто через электронную почту или чат, заставляют жертву ввести этот код на легитимном портале входа в сервис. Жертва, полагая, что выполняет обычный шаг проверки, непреднамеренно предоставляет устройству злоумышленника полные токены доступа к своему аккаунту, что приводит к плавному захвату учётной записи без необходимости взламывать пароль.
Тревожный 37-кратный рост был отслежен и зафиксирован компанией кибербезопасности Push Security. Компания отметила, что в начале марта 2026 года они уже наблюдали 15-кратный рост обнаруженных фишинговых страниц, использующих этот метод, в годовом исчислении. Сейчас этот показатель более чем удвоился, что подчёркивает быстрое внедрение техники киберпреступниками. Распространение в значительной степени обусловлено доступностью вредоносных фишинговых наборов, таких как идентифицированный набор "EvilTokens", которые продаются и распространяются на подпольных форумах. Эти наборы снижают порог входа, позволяя даже малоопытным злоумышленникам запускать сложные кампании. Впервые задокументированный в 2020 году, фишинг кода устройства использовался как государственными группами Продвинутых Постоянных Угроз (APT), так и финансово мотивированными киберпреступниками, нацеливаясь на широкий спектр сервисов — от корпоративных облачных платформ до личных почтовых аккаунтов.
Схема атаки особенно коварна, поскольку обходит многие традиционные средства защиты. Поскольку пользователь взаимодействует напрямую с настоящим сайтом поставщика услуг (например, login.microsoft.com) для ввода кода, нет вредоносных ссылок для блокировки и поддельных страниц входа для обнаружения почтовыми фильтрами. Многофакторная аутентификация (MFA) также становится неэффективной в этом сценарии, поскольку действие пользователя по вводу кода устройства само по себе является шагом авторизации. Злоумышленник получает валидные OAuth-токены, которые можно использовать для постоянного доступа и которые часто автоматически обновляются, позволяя осуществлять долгосрочный компрометацию. Это делает атаку мощным инструментом для брокеров начального доступа, которые продают скомпрометированные учётные данные другим преступникам для развёртывания ransomware, шпионажа или финансового мошенничества.
Для защиты от этой растущей угрозы организациям необходимо сместить акцент в безопасности. Критически важным является обучение пользователей и повышение осведомлённости, с акцентом на то, что пользователи никогда не должны вводить непрошенные коды, полученные по электронной почте или в чате, на каких-либо веб-сайтах. ИТ-администраторам следует рассмотреть возможность пересмотра и потенциального ограничения использования механизма Device Code Grant Flow в своих OAuth-приложениях, если это не является необходимым для бизнес-операций. Внедрение политик условного доступа, требующих соответствия устройств или определённых местоположений для аутентификации, может добавить дополнительный уровень защиты. Кроме того, командам безопасности следует отслеживать журналы аутентификации на предмет аномальных запросов кодов устройств, особенно тех, которые исходят из незнакомых местоположений или для учётных записей с высокими привилегиями. Поскольку фишинговые наборы, подобные EvilTokens, продолжают распространяться, сочетание технических средств контроля, бдительного мониторинга и обучения пользователей формирует необходимую триаду для смягчения последствий.
