Device Code Phishing
Что такое Device Code Phishing?
Device Code PhishingAn identity attack that abuses the OAuth 2.0 device authorization grant: the attacker starts a device-code flow and lures the victim into typing the resulting code on a legitimate login page, granting the attacker tokens for the victim's account.
Device code phishing weaponizes the RFC 8628 OAuth 2.0 device authorization grant, the same flow used by smart TVs, IoT devices, and CLI tools (Azure CLI, `az login --use-device-code`). The attacker initiates the flow against the target identity provider (typically Microsoft Entra ID), receiving a short user_code and a verification URL such as `https://microsoft.com/devicelogin`. They then send the victim a convincing message — meeting invite, IT-helpdesk request, support ticket — asking them to 'verify access' by visiting the (entirely legitimate) URL and entering the code. The victim authenticates with their real credentials and MFA, and the IdP issues tokens to the attacker's session, not the victim's device. Microsoft began throttling and warning on this flow in 2023–2024 and made device-code disable-by-default in some contexts in 2024 after Storm-2372 and Midnight Blizzard campaigns. Mitigations include disabling device code in Conditional Access for users who never need it, restricting it to specific managed clients, and educating users that no legitimate IT process requires them to type a code from an unsolicited message.
● Примеры
- 01
A Storm-2372 operator messages a target on Teams, claims to be from IT, and asks them to verify access by entering a code at microsoft.com/devicelogin — granting the attacker an access token to the victim's mailbox and Teams.
- 02
An Entra ID Conditional Access policy blocks the device-code flow entirely for all users except a specific group of CLI users.
● Частые вопросы
Что такое Device Code Phishing?
An identity attack that abuses the OAuth 2.0 device authorization grant: the attacker starts a device-code flow and lures the victim into typing the resulting code on a legitimate login page, granting the attacker tokens for the victim's account. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Device Code Phishing?
An identity attack that abuses the OAuth 2.0 device authorization grant: the attacker starts a device-code flow and lures the victim into typing the resulting code on a legitimate login page, granting the attacker tokens for the victim's account.
Как работает Device Code Phishing?
Device code phishing weaponizes the RFC 8628 OAuth 2.0 device authorization grant, the same flow used by smart TVs, IoT devices, and CLI tools (Azure CLI, `az login --use-device-code`). The attacker initiates the flow against the target identity provider (typically Microsoft Entra ID), receiving a short user_code and a verification URL such as `https://microsoft.com/devicelogin`. They then send the victim a convincing message — meeting invite, IT-helpdesk request, support ticket — asking them to 'verify access' by visiting the (entirely legitimate) URL and entering the code. The victim authenticates with their real credentials and MFA, and the IdP issues tokens to the attacker's session, not the victim's device. Microsoft began throttling and warning on this flow in 2023–2024 and made device-code disable-by-default in some contexts in 2024 after Storm-2372 and Midnight Blizzard campaigns. Mitigations include disabling device code in Conditional Access for users who never need it, restricting it to specific managed clients, and educating users that no legitimate IT process requires them to type a code from an unsolicited message.
Как защититься от Device Code Phishing?
Защита от Device Code Phishing обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Device Code Phishing?
Распространённые альтернативные названия: Device authorization phishing, Storm-2372 technique.
● Связанные термины
- attacks№ 917
Фишинг
Атака с применением социальной инженерии, при которой злоумышленник выдаёт себя за доверенную сторону, чтобы заставить жертву раскрыть учётные данные, перевести деньги или запустить вредоносное ПО.
- identity-access№ 839
OAuth 2.0
Открытый фреймворк авторизации, позволяющий владельцу ресурса предоставлять стороннему приложению ограниченный и регулируемый доступ к API без передачи учётных данных.
- attacks№ 840
OAuth Consent Phishing
An identity attack that abuses the OAuth consent flow: instead of stealing a password, the attacker tricks the victim into granting their malicious app standing permissions (mail.read, files.read.all) on the victim's tenant.
- attacks№ 011
Захват учётной записи (ATO)
Атака, при которой злоумышленник получает несанкционированный контроль над легитимной учётной записью и использует её для кражи денег, данных или дальнейшего мошенничества.
- attacks№ 1182
Социальная инженерия
Психологическое манипулирование людьми, заставляющее их совершать действия или раскрывать конфиденциальную информацию в интересах злоумышленника.
- attacks№ 1191
Целевой фишинг (spear phishing)
Целенаправленная фишинговая атака, адаптированная под конкретного человека или организацию на основе заранее собранных персональных и профессиональных данных.