Phishing-ul prin cod de dispozitiv a crescut de 37 de ori — ocolirea MFA pe care trainingul tău n-o acoperă

Phishing-ul prin cod de dispozitiv a crescut de 37 de ori — ocolirea MFA pe care trainingul tău n-o acoperă

Majoritatea trainingurilor de phishing predau o singură lecție: verifică URL-ul înainte să-ți introduci parola. Phishing-ul prin cod de dispozitiv câștigă tocmai pentru că victima nu tastează niciodată o parolă pe un site fals. Nu există o pagină de login clonată de reperat, iar autentificarea multi-factor nu ajută. De asta a devenit discret una dintre tehnicile de atac definitorii ale lui 2026.

Push Security raportează că detecțiile de phishing prin cod de dispozitiv au crescut de aproximativ 15 ori la începutul lui martie 2026 și se situează acum în jurul valorii de 37 de ori pentru acest an. Ce era o tehnică de nișă legată de campanii statale rusești la începutul anului a fost banalizat de cel puțin o duzină de kit-uri gata făcute — EvilTokens, VENOM, SHAREFILE, PAPRIKA și altele — vândute și operate prin Telegram.

Cum funcționează

Autentificarea prin cod de dispozitiv există dintr-un motiv bun: îți permite să te loghezi pe dispozitive fără tastatură — un smart TV, o unealtă CLI, un ecran de sală de ședințe. Vizitezi un URL pe telefon, introduci un cod scurt afișat pe dispozitiv, aprobi, iar dispozitivul e logat.

Atacatorii deturnează exact acest flux:

  1. Atacatorul pornește un login real prin cod de dispozitiv către un serviciu legitim (Microsoft 365, de exemplu) și primește un cod autentic de la furnizorul real.
  2. Îți trimite acel cod, ambalat într-un pretext plauzibil — „Introdu acest cod ca să intri în ședința Teams", „verifică-ți contul ca să continui".
  3. Mergi pe pagina reală Microsoft (URL-ul e autentic — nimic nu pare în neregulă) și introduci codul.
  4. Aprobi cu parola ta, cu MFA, chiar cu passkey-ul — totul corect.
  5. Aprobarea autorizează dispozitivul atacatorului. Acesta deține acum un token de sesiune valid pentru contul tău.

Fiecare control de securitate a funcționat cum a fost proiectat. Te-ai autentificat cu succes la furnizorul real. Doar că ai autentificat dispozitivul atacatorului, nu pe al tău.

De ce învinge apărările actuale

  • URL-ul e real. Sfatul „verifică linkul" nu ajută — domeniul aparține chiar Microsoft sau Google.
  • MFA și passkey-urile nu ajută. Ele protejează pasul de login. Phishing-ul prin cod de dispozitiv atacă pasul de autorizare, de după login, așa că autentificarea puternică e ocolită, nu spartă.
  • Capturează token-uri, nu parole. Schimbarea parolei ulterior nu omoară neapărat sesiunea atacatorului. Așa cum am arătat în articolul despre agenții AI și identitățile non-umane, accesul pe bază de token-uri e stratul pe care majoritatea organizațiilor abia îl monitorizează.

Ce e de făcut

  • Restricționează fluxul de cod de dispozitiv. În Microsoft Entra ID, folosește Conditional Access pentru a bloca sau a limita strict autentificarea prin cod de dispozitiv acolo unde utilizatorii nu au nevoie reală de ea. E controlul cu cel mai mare impact.
  • Predă pretextul concret, nu doar „nu da click pe linkuri". Angajații trebuie să fie suspicioși față de orice mesaj care le cere să introducă un cod pe o pagină de login pe care nu au inițiat-o ei. Dacă nu ai pornit tu autentificarea, nu o aproba.
  • Monitorizează abuzul de token-uri. Urmărește autentificări de pe dispozitive noi sau locații neobișnuite imediat după o autentificare legitimă și fii pregătit să revoci sesiuni — nu doar să resetezi parole — în timpul răspunsului la incident.
  • Scurtează durata sesiunilor pentru aplicațiile sensibile, ca un token furat să aibă o fereastră mai mică.
  • Testează-ți oamenii cu tehnica reală. Simulările generice „dă click pe link" nu pregătesc pe nimeni pentru asta. O simulare de phishing care include cod de dispozitiv și alte scenarii de ocolire a MFA îți arată cine e cu adevărat vulnerabil la ce fac atacatorii de fapt.

Ideea mai mare

Phishing-ul prin cod de dispozitiv e o previzualizare a direcției în care merg atacatorii: dinspre spargerea controalelor tale spre abuzarea mecanismelor legitime, astfel încât totul să pară corect. Parolele, MFA și passkey-urile merită în continuare avute — dar nu mai sunt toată povestea. Apărarea e un amestec de configurare (blochează fluxurile de care nu ai nevoie), monitorizare (urmărește stratul token-urilor) și oameni (antrenează comportamentul concret).

Dacă programul tău de conștientizare se oprește tot la „verifică URL-ul", îți antrenezi angajații pentru atacurile de anul trecut. Te putem ajuta să închizi acest decalaj prin programe realiste de simulare de phishing și risc uman și conștientizare construite în jurul a ceea ce ajunge de fapt în inbox-uri în 2026.


Acest articol este informare generală bazată pe cercetările publice Push Security și Sekoia, așa cum au fost raportate de BleepingComputer. Nu înlocuiește consultanța specifică mediului tău.

Înapoi la blog