Кража почты через OAuth-фишинг: как злоумышленники получают доступ к корпоративной переписке
📋 Кратко
OAuth-фишинг (consent phishing) — одна из самых опасных атак 2025–2026 годов. Вместо кражи пароля злоумышленник убеждает жертву самостоятельно авторизовать вредоносное приложение через легитимный протокол OAuth 2.0. Полученный токен доступа даёт постоянный, API-уровневый доступ к корпоративной почте, календарю и файлам — даже после смены пароля и включения MFA. В марте 2026 года Cloud Security Alliance зафиксировала кампанию, скомпрометировавшую более 340 организаций через OAuth device code phishing. Разбираем механику атаки, реальные кейсы группировок TA2723 и UNK_AcademicFlare, а также методы защиты на уровне Microsoft Entra ID, Conditional Access и политик согласий.
Корпоративная электронная почта — главная цель киберпреступников. В ней хранятся контракты, финансовая отчётность, переписка с клиентами, учётные данные для десятков сервисов. Традиционные методы защиты — антивирусы, спам-фильтры, многофакторная аутентификация — всё чаще оказываются бессильны. Причина в том, что атакующие перестали воровать пароли. Они крадут токены доступа.
OAuth-фишинг (также известный как consent phishing, фишинг согласий или device code phishing) в 2025–2026 годах стал мейнстримным вектором атак на корпоративную инфраструктуру. Вместо поддельной страницы входа злоумышленники используют официальные страницы Microsoft, Google и других провайдеров — жертва сама» даёт доступ к своей почте, нажимая «Разрешить». Разберёмся, как это работает и как защититься.
🔍 Что такое OAuth-фишинг и почему он опасен традиционных атак
OAuth 2.0 — отраслевой стандарт делегированного доступа, который позволяет приложениям получать ограниченный доступ к ресурсам пользователя без передачи пароля. Когда вы разрешаете календарю на телефоне читать ваш Google Календарь или даёте CRM-системе доступ к корпоративному Outlook — вы используете OAuth.
Злоумышленники поняли, что эту же механику можно обратить против организации. Вместо того чтобы ломать пароль или перехватывать SMS-код, они создают легитимно выглядящее приложение (App Registration в Azure AD, проект в Google Cloud Console), указывают привлекательный набор разрешений (например, Mail.Read, Mail.Send, User.Read.All) и убеждают сотрудника авторизовать его.
Главное отличие от классического фишинга — жертву не перенаправляют на поддельную страницу. Вся авторизация происходит на реальном домене login.microsoftonline.com или accounts.google.com. Сертификаты валидны, интерфейс настоящий — ни один антивирус или SSL-инспектор не выдаст предупреждение.
⚙️ Как работает атака: техническая механика на примере Microsoft 365
Рассмотрим типичную атаку OAuth consent phishing на корпоративную среду Microsoft 365. Она состоит из четырёх этапов.
Этап 1: Регистрация вредоносного приложения
Злоумышленник регистрирует приложение в Azure AD (сейчас — Microsoft Entra ID) через личного или арендованного арендатора. Приложению назначаются разрешения Microsoft Graph API, требующие согласия администратора: Mail.ReadWrite, Mail.Send, User.Read.All, Directory.Read.All. Для обычного пользователя эти разрешения выглядят безобидно — «Читать ваш почтовый ящик», «Входить в систему и читать профиль».
Этап 2: Доставка ссылки жертве
Ссылка на авторизацию вредоносного приложения отправляется по электронной почте. Маскировка может быть разной: уведомление о совместном доступе к документу, оповещение о «подозрительном входе» с просьбой подтвердить личность, сообщение о премии или бонусе. В кампаниях TA2723 (Proofpoint, декабрь 2025) использовались уведомления о совместном доступе к файлам с брендированием компании-жертвы.
Этап 3: Получение токена доступа
Жертва переходит по ссылке, видит экран входа Microsoft и — на настоящем домене Microsoft — вводит учётные данные и проходит MFA. Затем появляется страница с запросом разрешений. Сотрудник нажимает «Принять», и вредоносное приложение получает access_token и refresh_token.
Критическая деталь: токен обновления (refresh token) живёт до 90 дней и может быть продлён без участия пользователя. Даже если организация отзовёт исходную авторизацию, токен может оставаться валидным до истечения срока.
Этап 4: Эксплуатация доступа
С токенами злоумышленник вызывает Microsoft Graph API напрямую: читает все письма из Inbox и Sent Items, скачивает вложения, просматривает календарь, контакты. Атакующий может настроить правило пересылки (Inbox Rule) — вся входящая почта дублируется на внешний ящик. Правило пересылки часто остаётся незамеченным неделями и месяцами.
🎯 Реальные кейсы: группировки и кампании 2025–2026
TA2723: финансово мотивированные атаки через SquarePhish и Graphish
Группировка TA2723, ранее известная массовыми фишинговыми рассылками, с сентября 2025 года переключилась на OAuth device code phishing. По данным Proofpoint, TA2723 использовала два основных инструмента:
- SquarePhish v1/v2 — публично доступный инструмент пентестеров для атак через QR-коды, маскирующие OAuth-авторизацию под настройку Microsoft MFA/TOTP;
- Graphish — фишинговый набор, распространяемый на подпольных форумах, поддерживающий OAuth-атаки, Azure App Registrations и Adversary-in-the-Middle (AiTM).
Первая волна атак TA2723 имитировала уведомления о премиях и бонусах — сотрудникам обещали выплату после «подтверждения личности» через устройство-код. Вторая волна использовала поддельные страницы входа OneDrive.
UNK_AcademicFlare: государственно-ориентированная разведка
С сентября 2025 года Proofpoint отслеживает активность группировки UNK_AcademicFlare, предположительно связанной с Россией. Методика отличается изощрённостью: сначала атакующие компрометируют правительственные и военные почтовые ящики, затем используют их для построения доверительных отношений с целями в академическом, государственном и транспортном секторах США и Европы. После нескольких легитимных писем жертве отправляется ссылка на OneDrive, ведущая в OAuth phishing workflow.
Кампания 340+ организаций (март 2026)
Cloud Security Alliance (CSA) в марте 2026 года опубликовала отчёт о масштабной кампании OAuth device code phishing, в ходе которой были скомпрометированы более 340 арендаторов Microsoft 365. Атака маршрутизировала фишинговые URL через легитимные редирект-системы вендоров безопасности — спам-фильтры и шлюзы пропускали ссылки, поскольку они вели на официальные домены Microsoft.
🛡️ Методы защиты от OAuth-фишинга
Защита от OAuth-фишинга требует комбинации технических мер и организационных политик. Ниже — проверенные методы, которые реально снижают риск.
1. Политика согласий (Consent Policy) в Microsoft Entra ID
Включите параметр «Разрешить согласие пользователя только для приложений, проверенных издателем». Ещё лучше — полностью запретить согласие пользователей и разрешить только административное согласие через утверждённый каталог приложений.
2. Условный доступ (Conditional Access)
Настройте политики Conditional Access для контроля OAuth-авторизаций:
- Блокировать сторонние приложения с высоким уровнем риска;
- Требовать соответствия устройства (compliant device) для авторизации OAuth;
- Ограничивать разрешения по источнику входа (принимать токены только из доверенных IP-диапазонов);
- Использовать токен-сессию с коротким временем жизни (до 1 часа для access token, без refresh token).
3. Мониторинг и аудит OAuth-приложений
Регулярно аудируйте все зарегистрированные приложения в Microsoft Entra ID и Google Workspace с помощью встроенных отчётов:
- Проверяйте приложения с высоким уровнем разрешений (Mail.ReadWrite, Directory.ReadWrite.All);
- Ищите приложения, зарегистрированные во внешних (не ваших) арендаторах;
- Используйте Microsoft Defender for Cloud Apps для обнаружения аномальной активности OAuth-приложений.
4. Кампании по повышению осведомлённости
Сотрудники должны понимать, что запрос разрешений «Доступ к почте» на странице login.microsoftonline.com — не то же самое, что обычный вход. Проводите симулированные OAuth-фишинговые атаки, где «вредоносное» приложение просит доступ к почтовому ящику. Тренируйте сотрудников обращать внимание на то, какие именно разрешения запрашивает приложение.
5. Блокировка device code flow
Протокол Device Code Grant (RFC 8628) — основная точка атаки в описанных выше кампаниях. Если в вашей организации нет легитимной потребности в этом потоке (например, для IoT-устройств или CLI-инструментов), отключите его на уровне политики аутентификации в Microsoft Entra ID. По данным Microsoft, 99% атак OAuth device code phishing в 2025 году эксплуатировали именно этот протокол.
🔮 Будущее OAuth-фишинга: что ждать в 2027 году
Судя по рыночным тенденциям, OAuth-фишинг будет только набирать обороты. Распространение Graphish, SquarePhish и аналогичных инструментов в даркнете снижает порог входа — теперь атаку может провести киберпреступник без глубоких знаний протокола. По прогнозам Hoxhunt Phishing Trends Report 2026, доля атак с использованием OAuth-вектора среди всех фишинговых инцидентов достигнет 35% к концу 2027 года.
Microsoft и Google работают над улучшением системы предупреждений: новые версии Entra ID и Google Workspace Security Centre добавляют маркировку «Приложение запрашивает доступ к вашей переписке» в интерфейсе согласий. Однако атакующие адаптируются — использование AI-сгенерированных описаний приложений и поддельных рейтингов издателей уже наблюдается в свежих кампаниях.
Основной рекомендацией остается принцип минимальных привилегий (least privilege) и полный запрет пользовательских согласий на уровне организации. Технические средства эффективны, но главный фактор — культура безопасности среди сотрудников.
📚 Читайте также
- Whaling: целевой фишинг против топ-менеджмента. Как защитить руководство компании
- Анализ электронной почты: как выявлять фишинг до того, как письмо открыто
- Социальная инженерия и фишинг: защита от психологических атак в 2026
- GPT-Red: ИИ-пентест для нейросетей — 84% успеха против 13% у людей
- ДНК-оригами: новый подход к криптографической защите данных
📖 Термины
IAM (Identity and Access Management) · MFA · OAuth · Социальная инженерия · Фишинг
🔗 Источники
- 2026 Email Threats Report — Barracuda Networks (2026-07-18 ✓)
- Microsoft 365 accounts targeted in wave of OAuth phishing attacks — BleepingComputer (2026-07-18 ✓)
- OAuth Device Code Phishing: 37x Surge in Enterprise ATO — Cloud Security Alliance (2026-07-18 ✓)
- OAuth consent phishing explained and prevented — Microsoft Community Hub (2026-07-18 ✓)
- Phishing Trends Report (Updated for 2026) — Hoxhunt (2026-07-18 ✓)