Нова фишинг измама заобикаля защитите на Microsoft без да краде пароли

02 март 2026 преди 48 дни

Повечето онлайн измами целят едно и също – кражба на пароли. Нов тип атака обаче променя правилата на играта. Жертвите влизат в реалния сайт на Microsoft, преминават през истински проверки за сигурност и дори успешно завършват многофакторна автентификация (MFA) – и въпреки това акаунтите им биват компрометирани.

Техниката е известна като „фишинг чрез код на устройство“ (device code phishing). За разлика от класическия фишинг, тя не краде паролата. Вместо това подвежда потребителя сам да даде достъп до профила си, използвайки легитимния механизъм за удостоверяване на Microsoft.

Как действа схемата

Microsoft и други големи технологични компании използват функция, наречена „поток за оторизация на устройство“ (device authorization flow). Тя позволява вход чрез код – например при смарт телевизори, устройства с ограничен интерфейс или хотелски системи. Процесът по принцип е напълно легитимен и сигурен.

Уязвимостта се появява, когато:

Нападателят инициира заявка за вход от свое устройство.
Системата генерира реален код за устройство, свързан с тази сесия.
Вместо да го използва сам, нападателят изпраща кода на жертвата чрез:
- фалшиво известие за сигурност
- „спешен“ имейл от Microsoft 365
- съобщение от Teams
- имейл от „IT поддръжка“
Жертвата отива на официалната страница на Microsoft, въвежда кода и потвърждава входа.

Резултатът: потребителят не влиза в собствения си акаунт, а автентикира нападателя, като му предоставя пълен достъп до профила си – без никога да е въвеждал паролата си.

Защо това е опасно

Няма фалшив сайт
Няма фалшива страница за вход
MFA работи коректно
Всичко изглежда легитимно
Акаунтът се предава доброволно от самия потребител

Основен извод

Това е една от най-опасните модерни форми на фишинг, защото използва реални системи за сигурност срещу самите потребители. Не пробива защитите – кара жертвата да ги активира в полза на атакуващия.