Device Code Phishing označuje čoraz častejšie zneužívanú taktiku, ktorú útočníci cielene využívajú na získanie neoprávneného prístupu k používateľským účtom. Zneužívajú pri tom oficiálny autentifikačný proces OAuth 2.0, ktorý štandardne používajú zariadenia s obmedzeným vstupom, ako sú smart televízory alebo tlačiarne. Namiesto toho, aby posilnili bezpečnosť, vytvárajú útočníci prostredníctvom tohto procesu zadné vrátka do systému.
Priebeh útoku: Ako funguje Device Code Phishing
Útočník najskôr vytvorí autentifikačný požiadavok, ktorý vygeneruje jedinečný kód. Následne osloví obeť prostredníctvom aplikácií ako WhatsApp, Signal alebo Microsoft Teams a predstiera, že ide o dôveryhodnú osobu.
Obeť následne požiada o zadanie kódu na legitímnej stránke, napríklad https://microsoft.com/devicelogin. V momente, keď obeť tento kód zadá, útočník získa prístupové tokeny, ktoré mu umožnia plný prístup k účtu bez potreby hesla alebo dodatočnej autentifikácie.
Príklady z praxe: Device Code Phishing v apríli 2025
V apríli 2025 viaceré bezpečnostné firmy identifikovali konkrétne kampane zamerané na tento typ útoku.
Storm-2372 cielil na vládne inštitúcie, neziskové organizácie a technologické firmy v Európe a Severnej Amerike. Využil falošné pozvánky cez Microsoft Teams, vďaka ktorým získal prístup k e-mailovým účtom a citlivým údajom. Zdroj
Skupiny UTA0352 a UTA0355 sa zamerali na organizácie spojené s Ukrajinou a ľudskými právami. Oslovili obete cez Signal a WhatsApp, predstierali identitu európskych diplomatov a žiadali zadanie kódu pre vymyslené online stretnutia. Zdroj
Príznaky napadnutia: Ako rozpoznať Device Code Phishing
- Používatelia zaznamenajú prihlásenia z neznámych zariadení alebo lokalít.
- Účty vykazujú zmeny v nastaveniach, ktoré neautorizovali.
- Systém odošle upozornenia na podozrivé prihlásenia alebo zmeny hesiel, ktoré používateľ nevykonal.
Prevencia: Ako sa brániť proti Device Code Phishingu
- Používatelia by mali vždy skontrolovať URL adresu pred zadaním kódu.
- Odporúčame zapnúť viacfaktorovú autentifikáciu (MFA), ktorá výrazne znižuje šance útočníka na úspešný prístup.
- Zároveň odporúčame pravidelné školenia používateľov a kolegov o aktuálnych kybernetických hrozbách.
- Okrem toho treba pravidelne monitorovať prístupy k účtom a nastavovať upozornenia na neobvyklé aktivity.
- Napokon, v rámci organizácie sa oplatí zvážiť obmedzenie alebo úplné vypnutie device code flow, ak daný spôsob autentifikácie nie je nevyhnutný.
Záver: Device Code Phishing a odolnosť v praxi
Device Code Phishing predstavuje aktuálnu a nebezpečnú formu kybernetickej hrozby. Využíva dôveryhodný mechanizmus na podvodné účely, čo zvyšuje jeho účinnosť. Ak však používatelia dodržiavajú odporúčané bezpečnostné opatrenia a aktívne sledujú vývoj v oblasti kybernetickej bezpečnosti, môžu úspešne zabrániť aj týmto sofistikovaným útokom.
Tento typ útoku stratí silu v momente, keď začne komunita myslieť ako hacker, ale konať ako admin.
