Бизнес

«Касперский зертханасы» Microsoft корпорациясының авторизация механизмін теріс пайдаланатын фишингтік науқан туралы ескертті

«Касперский зертханасының» сарапшылары фишингтік науқанды тапты, онда шабуылдаушылар Microsoft — тың Device Authorization Grant (device Code Flow) авторизациялау механизмін пайдаланады. Шабуыл 2026 жылдың сәуір айының басынан мамыр айының ортасына дейін байқалды және заң фирмасының хабарламалары ретінде стильдендірілді. Оның мақсаты — кәсіпорын деректерін кейіннен бұзу үшін жәбірленушінің есептік жазбасының белгілерін алу.

Мәні неде. Device Authorization Grant механизмі ақылды Теледидарлар, IoT құрылғылары немесе принтерлер сияқты енгізу мүмкіндігі шектеулі құрылғыларда авторизациялауға арналған. Тіркелгіге кіру үшін пайдаланушы басқа құрылғыны — смартфонды немесе компьютерді пайдаланады, онда ол бір реттік кодты енгізеді немесе авторизацияны растау үшін QR кодын сканерлейді. Алайда, дәл осы механизмді шабуылдаушылар есептік жазбаларды бұзу үшін қолдана алады.

Шабуыл кезінде пайдаланушылар парольмен қорғалған PDF қоса берілген заң фирмасынан хаттар алды. Құжатты ашып, парольді енгізгеннен кейін пайдаланушы құжаттар тізімі бар бетті көрді, бірақ оларды көру үшін сілтемеге өту керек болды. Ол Microsoft корпорациясының заңды мекен-жайына апарды, бірақ пайдаланушыны заңды құжаттарды қарау үшін порталға еліктейтін фишингтік ресурсқа бағыттайтын қайта бағыттау механизмін қолданды.

Құжаттағы сілтеме пайдаланушыны Microsoft платформасынан заңды құжаттарды қарау үшін порталға еліктейтін фишингтік бетке бағыттайды

Фишингтік бет

Бірнеше CAPTCHA-дан өткеннен кейін, пайдаланушыға авторизация процесі басталған кезде зиянкестер алдын-ала жасаған бір реттік кодты көшіру ұсынылды. Содан кейін пайдаланушы осы кодты енгізу үшін Microsoft корпорациясының ресми бетіне қайта бағытталды және көп факторлы аутентификация процесін аяқтады, осылайша шабуылдаушылардың өз есептік жазбасына кіруін растады.

Фишингтік беттегі бір реттік код

Microsoft корпорациясының ресми аутентификация бетіне қайта бағыттау

Ағымдағы сессияның таңбалауыштарын алғаннан кейін, шабуылдаушылар жәбірленушінің хат-хабарларын оқып, оның атынан хаттар жібере алады, Microsoft OneDrive-тағы файлдарға қол жеткізе алады және Microsoft Teams-тегі чаттарды көре алады.

«Зиянкестер әрқашан зиянды БЖ пайдаланбайды немесе құпия ақпаратқа қол жеткізу үшін логиндер мен парольдерді ұрламайды — олар заңды құралдар мен авторизация тетіктерін жиі қолданады. Сондықтан пайдаланушылар күдікті сайттарға кірген кезде ғана емес, сонымен қатар ресми платформалармен жұмыс істегенде де қырағылық танытуы керек, — дейді Роман Деденок, «Касперский Зертханасының» киберқауіпсіздік жөніндегі сарапшысы. «Ұйымдар Device Code Flow-ті корпоративтік инфрақұрылымда пайдалану керек пе, жоқ па, соны талдауы керек, ал егер бұл сценарий бизнес-процестерде қолданылмаса, оны өшіріңіз».

Мұндай шабуылдардан қосымша қорғаныс корпоративтік және жеке хат алмасудың қауіпсіздігіне кепілдік беретін электрондық поштаны қорғаудың сенімді шешімдерін қамтамасыз етуге көмектеседі.

Бұған дейін Касперский зертханасының сарапшылары Google Tasks, Google Forms, Bubble және Amazon Simple Email Service мүмкіндіктерін теріс пайдаланған фишингтік науқандарды тіркеген.

Фишингтік науқан туралы толығырақ Securelist веб-сайтынан оқи аласыз.

 

Другие новости

Back to top button