Device code phishing napadi eksplodirali kako se šire novi phishing kitovi
Napadi koji zloupotrebljavaju OAuth 2.0 Device Authorization Grant flow porasli su više od 37 puta ove godine, prema istraživanju kompanije Push Security. U ovoj tehnici žrtva unosi legitimni kod na pravoj login stranici, ali time zapravo odobrava pristup napadačevom uređaju, koji zatim dobija validne access i refresh tokene. Istraživači navode da širenje specijalizovanih phishing-as-a-service alata, pre svega EvilTokens, ali i drugih kitova sa Microsoft, SharePoint, Adobe i DocuSign mamcima, spušta prag za širu upotrebu ove metode među kriminalcima.
Opasnost ovde nije u lažnoj login stranici, nego u tome što korisnik često završava na pravom servisu i sam potvrđuje pristup. Za firme je to nezgodno zato što klasične navike tipa "proveri adresu sajta" više nisu dovoljne ako napadač koristi legitimni OAuth tok i pažljivo upakovanu SaaS priču.
- Isključiti device code flow tamo gde nije stvarno potreban
- Podesiti conditional access pravila za ograničavanje ovakvih autentikacija
- Pratiti logove za neočekivane device code prijave i sumnjive sesije
- Obučiti korisnike da ne unose kodove dobijene mejlom ili porukom bez jasne provere konteksta
- Pregledati naloge za neuobičajene IP adrese, nove tokene i nepoznate uređaje