OAuth‑consent: новый вектор фишинга, обходящий MFA

Коллеги, хочу обратить внимание в сфере кибербезопасности: фишинг через OAuth‑consent переходит в масс‑атаки.
В феврале 2026 PhaaS EvilTokens за 5 недель скомпрометировал >340 Microsoft 365 организаций: пользователи вводили код на microsoft.com/devicelogin и принимали consent, после чего злоумышленник получал refresh‑token к почте и диску. Пароль не нужен, MFA не спасла.
Ключевые риски:
• OAuth‑грант не оставляет следа входа и может быть refreshable.
• Токсические комбинации грантов связывают приложения через одну личность.
• MCP/агенты расширяют поверхность атаки.
Почему это важно: нужно мониторить и отзывать токены на уровне грантов, а не только блокировать аккаунты.
Какие меры Вы уже внедрили для контроля OAuth‑грантов?
#кибербезопасность #IdentitySecurity #OAuth #MFA


Последние комментарии
Комментариев пока нет.