Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft 365?

Исследователи Okta зафиксировали новую волну атак, где голосовой фишинг соединили с продуманным фишинг-китом — и получили инструмент, который обманывает пользователей Microsoft 365 через якобы обязательную регистрацию passkey. Группировку отслеживают под кодовым именем O-UNC-066, а подробности вскрыл сотрудник Okta Houssem Eddine Bordjiba. Конечная цель атакующих банальна и одновременно неприятна — вымогательство на основе украденных данных. Параллельно за той же кампанией следит Unit 42 из Palo Alto Networks, присвоившая ей собственное обозначение — CL-CRI-1147.
Судя по данным исследователей, за атаками стоит не изолированная банда, а часть более широкой экосистемы — децентрализованного криминального сообщества The Com. В его орбите вращаются такие известные группировки, как Scattered Spider, ShinyHunters и LAPSUS$. Связь с этим кругом объясняет, почему методичка атаки выглядит настолько отточенной: схожие приёмы социальной инженерии уже применялись в громких взломах последних лет. Есть и свой сайт для слива украденных данных под названием "Pink" — он работает с апреля 2026 года.
География жертв широкая, но выбор отраслей не выглядит случайным. В список попали компании из сфер продуктов питания и напитков, технологий, здравоохранения, автопрома, строительства и авиации — то есть организации, где сотрудники нередко работают удалённо или в разных часовых поясах, а служба поддержки привыкла оперативно реагировать на звонки о проблемах с доступом.
Сама схема начинается с обычного, казалось бы, телефонного звонка. Злоумышленники предварительно регистрируют домены со словом "passkey" в названии — это создаёт видимость легитимности при последующей переписке или переходе по ссылке. Оператор звонит сотруднику и убеждает его, что необходимо срочно зарегистрировать новый passkey — якобы по требованию ИТ-отдела или из соображений безопасности.
Что делает этот кит нетипичным, так это степень контроля оператора над процессом. В отличие от стандартных фишинговых страниц типа AitM (adversary-in-the-middle), которые просто перехватывают пароль и одноразовый код, здесь атакующий в реальном времени ведёт жертву через полноценную процедуру подтверждения. Панель управления построена на PHP и позволяет оператору подстраивать сценарий под конкретный метод многофакторной аутентификации жертвы — будь то TOTP-приложение, push-уведомление с сопоставлением чисел или SMS с кодом. Признаков перенаправления на сторонних провайдеров идентификации, вроде Okta, в этой кампании не обнаружено — всё происходит напрямую через поддельные страницы, имитирующие интерфейс Microsoft.
Техническая последовательность атаки выглядит как хорошо срежиссированный спектакль. Жертва сначала попадает на страницу /gate, где показывается безобидный значок загрузки — в это время кит незаметно проверяет, не анализирует ли его безопасник или автоматическая система. Затем идут страницы /identify и /password, запрашивающие логин и пароль соответственно. Введённые данные тут же летят через POST-запрос на /backend.php. Пока жертва думает, что просто входит в свой аккаунт, оператор на другом конце уже вбивает украденные учётные данные на настоящей странице входа Microsoft для конкретного тенанта компании.
Дальше начинается самая напряжённая часть для жертвы — ожидание. Страница /processing показывает крутящийся индикатор загрузки, а в это время оператор ждёт, пока настоящий Microsoft отправит запрос на подтверждение через MFA. В зависимости от того, какой метод защиты использует жертва, ей показывают одну из трёх страниц: /submit-otp для SMS-кода, /submit-authenticator для TOTP или /approve-authenticator для push-уведомления. Введённый или подтверждённый код снова уходит на /backend.php. В этот момент жертва, сама того не подозревая, только что одобрила вход злоумышленника в собственный аккаунт.
Но на этом схема не заканчивается — и вот тут начинается самая изощрённая часть обмана. После получения доступа кит переводит жертву на страницу /passkey/register, предлагая создать passkey. Дальше появляется страница /passkey, оформленная под фирменный стиль Microsoft, с предложением сохранить некий «ключ восстановления» для подтверждения passkey. Этот ключ состоит из 12 слов — почти точная копия seed-фразы, которую используют криптовалютные кошельки. Затем жертву просят подтвердить последнее слово фразы на странице /passkey/check, и наконец появляется /done с сообщением об успешной регистрации.
По оценке исследователей Okta, весь этот раздел с «ключом восстановления» не несёт никакой технической функции для самой жертвы — это чистая отвлекающая манёвра. Пока пользователь сосредоточенно записывает и проверяет 12 слов, атакующий в фоновом режиме регистрирует собственный passkey на аккаунте жертвы в Microsoft 365. Получается двойной обман: человек искренне верит, что защищает свой аккаунт, а на деле открывает к нему постоянный доступ постороннему.
Эффективность схемы во многом строится на том, что большинство людей просто не знакомы с тем, как выглядит настоящая регистрация passkey. В реальности процесс должен сопровождаться системным диалогом операционной системы или браузера, который запрашивает подтверждение на самом устройстве пользователя. Фишинг-кит имитирует внешний вид этого процесса достаточно убедительно, чтобы жертва не заметила подмены — вместо честной регистрации passkey на своём устройстве она наблюдает театральную постановку, пока настоящий passkey регистрируется на устройстве атакующего.
Отдельного внимания заслуживает то, насколько удачно злоумышленники подгадали момент для своей кампании. Microsoft недавно ввела функцию для администраторов — так называемые registration campaigns, которые мягко подталкивают сотрудников регистрировать passkey прямо во время входа в систему. Задумывалась эта функция для массового ускорения перехода на passkey-аутентификацию в организациях. На практике же она создала для атакующих готовый и правдоподобный контекст: у сотрудников уже сформировалось ожидание, что рано или поздно им позвонят или напишут с просьбой зарегистрировать passkey — и именно этим ожиданием пользуются мошенники, встраивая свою схему в привычный корпоративный ритуал.


Новое на сайте

Ссылка