Фальшиве налаштування passkey Microsoft 365: як працює вішинг O-UNC-066

Okta повідомляє, що O-UNC-066/Pink використовує дзвінки та фальшиві сторінки Entra passkey, щоб захоплювати Microsoft 365 акаунти. Проблема не в passkey, а в переконливому сценарії соціальної інженерії.

Фальшиве налаштування passkey Microsoft 365 через телефонний дзвінок і форму входу.

Okta Threat Intelligence повідомляє, що кластер O-UNC-066, пов’язаний з extortion-операцією Pink, телефонує користувачам Microsoft 365 і веде їх на фальшиві сторінки реєстрації Microsoft Entra passkey. Практичний ризик не в тому, що passkey є слабкими. Ризик у тому, що дзвінок може використати реальне впровадження passkey як переконливий сценарій, поки жертва фактично допомагає отримати доступ до акаунта.

Ця схема небезпечна через контекст: багато організацій справді просувають реєстрацію passkey. Справжня кампанія може з’являтися під час входу, тому несподіваний дзвінок про новий passkey звучить правдоподібно. Саме це і має насторожити: легітимне налаштування passkey не потребує, щоб хтось телефоном поспішав вас за посиланням, recovery phrase або сторінкою поза звичним Microsoft-акаунтом.

Кого це стосується

За даними Okta, кампанія націлена на користувачів Microsoft 365 в організаціях, особливо тих, хто має доступ до SharePoint, OneDrive, поштових скриньок, внутрішніх документів або адміністративних процесів. Фішинговий kit може підлаштовуватися під різні MFA-методи: push-підтвердження, number matching, одноразові коди й SMS. Домашні користувачі не є головною описаною ціллю, але правило те саме: не проходьте налаштування облікових даних або passkey під диктовку людини, яка сама вам подзвонила.

Як працює фальшивий passkey-сценарій

ЕтапЩо бачить жертва і що перевірити
ДзвінокЛюдина представляється support, security або IT й каже, що passkey треба зареєструвати негайно. Перевіряйте це через звичний help desk канал, перш ніж щось робити.
Фальшивий вхідСторінка імітує Microsoft 365 або бренд компанії. Не довіряйте лише логотипам: перевірте домен, джерело запиту і те, чи відкрили ви сторінку зі звичного Microsoft sign-in шляху.
MFA-relayЗловмисник може використати ваш пароль і попросити MFA-відповідь, потрібну для реального входу. Не підтверджуйте push, number match або код на прохання співрозмовника.
Passkey-відволіканняФальшивий процес може просити зберегти або підтвердити recovery phrase. Сама фраза на сторінці не робить реєстрацію Microsoft Entra легітимною.
Захоплення акаунтаАтакувальник може зареєструвати власний обліковий метод або залишити активну сесію. Повідомляйте про інцидент швидко, щоб сесії й методи автентифікації відкликали.

Справжнє налаштування passkey чи вішинг

  • Справжнє налаштування починається зі знайомого Microsoft account, Security info, корпоративного порталу або керованого device workflow, а не з термінового посилання від людини в телефоні.
  • Справжня реєстрація passkey використовує ваш пристрій, браузер, Authenticator, Windows Hello або security key. Вона не просить запам’ятати seed phrase у стилі криптогаманця.
  • Справжній IT-процес витримує перевірку. Завершіть дзвінок, відкрийте відомий внутрішній help desk або ticketing portal і уточніть, чи є така кампанія.
  • Справжній співробітник підтримки не просить пароль, MFA-код, number matching, recovery phrase або screen sharing, щоб завершити автентифікацію замість вас.

Що робити, якщо ви пройшли сценарій

  1. Завершіть дзвінок і більше не підтверджуйте запити.
  2. Повідомте security/help desk через відомий bookmark, Teams-канал, ticketing portal або номер, а не через контакти з дзвінка.
  3. З чистої сесії перевірте Security info у Microsoft-акаунті й видаліть незнайомі passkey, authenticator, телефонні номери або recovery methods.
  4. Попросіть адміністраторів відкликати сесії, скинути облікові дані, перевірити Entra sign-in logs, події реєстрації MFA/passkey, а також SharePoint, OneDrive, Exchange і OAuth-активність.
  5. Якщо під час дзвінка ви встановили remote-support tool, розширення браузера, вкладення або допоміжну програму, від’єднайтеся, збережіть назву файла чи URL і перевірте систему. Gridinsoft може допомогти перевірити підозрілі файли та знайти залишки malware або небажаних remote-access компонентів, але вже вкрадені cloud-сесії треба відкликати в Microsoft 365.

Ця атака стоїть поруч з іншими Microsoft identity scams, але не є тим самим, що фішинг кодом пристрою. Спільний висновок простий: login, MFA-підтвердження або новий метод входу можуть бути частиною атаки. Якщо процес почався через дзвінок і вас ведуть крок за кроком, спершу перевірте канал.

FAQ

Чи небезпечні Microsoft passkeys?

Ні. Passkeys створені для захисту від фішингу, коли їх реєструють і використовують через справжній Microsoft Entra flow. Описана кампанія атакує момент enrollment через соціальну інженерію, а не криптографію passkey.

Дзвінок про passkey завжди означає шахрайство?

Не завжди, але несподіваний дзвінок не має бути доказом. Перевіряйте через відомий help desk номер, внутрішній портал або менеджера, перш ніж підтверджувати sign-in чи registration prompt.

Який найбільший red flag?

Терміновість і прохання відкрити посилання, підтвердити MFA, ввести код, зберегти recovery phrase або додати новий метод входу. Такі дії можуть дати контроль над акаунтом навіть тоді, коли сторінка виглядає знайомо.

Що мають перевірити адміністратори?

Зміни authentication methods, події passkey/FIDO2 registration, sign-in risk, impossible travel, mailbox rules, OAuth grants, завантаження з SharePoint/OneDrive, а також активні refresh tokens і сесії.

Джерела

  1. Okta Threat Intelligence. “Vishing actors target Entra passkey enrollment.” Okta, опубліковано 6 липня 2026, доступ 9 липня 2026. https://www.okta.com/blog/threat-intelligence/vishing-actors-target-microsoft-entra-passkey-enrollment-/
  2. Microsoft Learn. “Run a Registration Campaign to Set Up a Passkey or Microsoft Authenticator.” Microsoft, доступ 9 липня 2026. https://learn.microsoft.com/en-us/entra/identity/authentication/how-to-mfa-registration-campaign
  3. Microsoft Learn. “Authentication methods in Microsoft Entra ID – passkeys (FIDO2).” Microsoft, доступ 9 липня 2026. https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-passkeys-fido2

Пишу про те, як зробити життя онлайн комфортним і безпечним. Вірю, що сучасний цифровий світ вартий того, щоб бути його частиною.