В конце июня — начале июля 2026 года зафиксирована кампания фишинга через механизм Device Code Flow, нацеленная на учётные записи Microsoft 365. По данным ZeroBEC, атакующие использовали приманки в стиле приглашений к совместной работе, направляя жертв на легитимную страницу авторизации Microsoft, а не на поддельную форму ввода пароля. Параллельно Cisco Talos раскрыла полнофункциональную операторскую панель ARToken для аналогичных атак. Эти события указывают на системный сдвиг: техника device code phishing из единичного приёма превратилась в товарный продукт на рынке «фишинг как услуга» (PhaaS), способный обходить многофакторную аутентификацию и обеспечивать полный захват аккаунтов.
Как работает device code phishing
В основе атаки лежит легитимный механизм OAuth 2.0 — Device Authorization Grant. Согласно документации Microsoft, этот поток предназначен для устройств с ограниченным интерфейсом — смарт-телевизоров, принтеров, IoT-устройств, — которые не могут отобразить стандартную форму входа. Пользователь получает короткий код на устройстве, вводит его в браузере на другом устройстве и тем самым авторизует сессию.
Атакующие эксплуатируют именно это разделение: они самостоятельно инициируют поток авторизации, получают код и передают его жертве через фишинговое письмо. Когда пользователь вводит код на легитимной странице microsoft.com/devicelogin, он неосознанно авторизует сессию злоумышленника. Как отмечают исследователи Huntress, атака «не взламывает систему, а проходит через парадный вход — без пароля, с обходом MFA, с передачей токена сессии напрямую атакующему».
Принципиальное отличие от классического фишинга: здесь нет поддельных страниц входа и нет перехвата учётных данных через прокси (AitM). Жертва взаимодействует исключительно с настоящей инфраструктурой Microsoft, что делает атаку крайне сложной для обнаружения стандартными средствами.
Эволюция техники: динамическая генерация и PhaaS
По данным Proofpoint (май 2026), в большинстве современных атак код генерируется динамически в момент перехода жертвы по фишинговой ссылке. Это устраняет ограничение по времени жизни кода: письмо может быть открыто в любой момент, и цепочка атаки запустится заново. Proofpoint также фиксирует, что реализации device code phishing доступны через PhaaS-платформы, включая EvilTokens и Tycoon 2FA, либо создаются операторами самостоятельно.
Дополнительно атакующие применяют технику «прыжков через захваченные аккаунты» (ATO jumping): скомпрометированная учётная запись используется для рассылки фишинговых ссылок по контактам жертвы — в виде кнопок, гиперссылок, вложений или QR-кодов. Это многократно увеличивает охват кампании и повышает доверие получателей к письму.
Связь с Storm-2372 и формирование экосистемы инструментов
По оценке ZeroBEC, наблюдаемая кампания имеет значительные пересечения с активностью, которую Microsoft задокументировала в феврале 2025 года под идентификатором Storm-2372. Та кампания использовала приманки в стиле Microsoft Teams для получения device code от жертв. Однако исследователи подчёркивают, что совпадение тактик не означает тождественности операторов — речь идёт скорее о распространении определённого набора приёмов (tradecraft), который теперь упаковывается в повторно используемую инфраструктуру.
Параллельно Cisco Talos идентифицировала операторскую панель ARToken, которая, по данным исследователей, разделяет инфраструктуру и API-контракты с платформой EvilTokens. Панель предоставляет более 80 API-эндпоинтов для проведения device code phishing, сохранения доступа через Primary Refresh Token (PRT), работы с электронной почтой, операций BEC и эксфильтрации данных из SharePoint — всё через React-интерфейс. Отдельный инструмент ARTBrowser позволяет операторам просматривать сессии Microsoft 365 жертв вне панели.
По данным Sekoia, платформа EvilTokens включает функции на основе искусственного интеллекта для автоматизации BEC-операций: анализ тысяч перехваченных писем, выявление финансовых переписок и генерация мошеннических сообщений. Это свидетельствует о зрелости экосистемы — речь идёт не о единичных фишинговых наборах, а о полноценных платформах для проведения бизнес-компрометации.
Тенденцию подтверждает и отчёт eSentire: операторы Tycoon 2FA, ранее специализировавшиеся на AitM-фишинге, перепрофилировали свой набор для доставки device code phishing через OAuth-поток Microsoft.
Затронутые продукты и масштаб воздействия
Под угрозой находятся все организации, использующие:
Успешная атака может привести к полному захвату учётной записи, краже конфиденциальных данных, мошенничеству через BEC, латеральному перемещению внутри организации и, в крайних случаях, к развёртыванию программ-вымогателей. Особенно уязвимы организации, где device code flow разрешён на уровне тенанта без дополнительных ограничений условного доступа.
Важно учитывать: реальный масштаб воздействия зависит от области действия (scope) выданных токенов, настроек условного доступа и политик тенанта. Утверждения о «полном обходе MFA» справедливы лишь в контексте делегированной аутентификации — атака не взламывает MFA как таковой, а использует легитимный поток, в котором MFA уже пройдена пользователем.
Практические рекомендации
- Ограничьте Device Code Flow. В Microsoft Entra создайте политику условного доступа, блокирующую Device Authorization Grant для всех пользователей, кроме тех, кому он действительно необходим (киоски, IoT-устройства). Это наиболее эффективная мера.
- Настройте мониторинг аномальных входов. Отслеживайте события аутентификации с типом «Device Code» в журналах Entra Sign-in Logs. Массовые запросы device code с нетипичных IP-адресов или для пользователей, которым этот поток не нужен, — сигнал компрометации.
- Внедрите политики Token Protection. Привязка токенов к конкретным устройствам (token binding) в Entra значительно снижает ценность перехваченных токенов для атакующего.
- Проведите ревизию согласий OAuth. Проверьте список приложений с делегированными разрешениями в тенанте. Отзовите подозрительные согласия, особенно предоставляющие доступ к Mail.Read, Files.Read или аналогичным scope.
- Обучите пользователей. Сотрудники должны знать, что легитимные приглашения к совместной работе в Microsoft 365 никогда не требуют ввода device code. Любой запрос на ввод кода на странице microsoft.com/devicelogin, инициированный из письма, — признак атаки.
- Ограничьте ATO jumping. Настройте правила транспорта Exchange Online для обнаружения массовых рассылок с недавно скомпрометированных аккаунтов и автоматического карантина подозрительных сообщений.
Формирование полноценных PhaaS-платформ вокруг device code phishing — ARToken, EvilTokens, адаптированный Tycoon 2FA — означает, что эта техника перестала быть прерогативой продвинутых группировок и доступна широкому кругу операторов. Ключевое действие для защитников — немедленно проверить, разрешён ли Device Code Flow в тенанте Microsoft Entra, и заблокировать его для всех пользователей, которым он не требуется для работы. Организации, не ограничившие этот поток, фактически оставляют открытой дверь, через которую атакующий проходит с легитимным токеном.