卡巴斯基發布了一份報告,披露了一起攻擊者濫用微軟身份驗證機制的網絡釣魚攻擊活動。該活動從2026年4月初持續至5月中旬,攻擊會偽裝成律師事務所的通知。其目的是竊取受害者的憑證并訪問其數據。此前,卡巴斯基曾警告過利用Google Tasks、Google Forms、Bubble和亞馬遜郵件服務進行的網絡釣魚攻擊。
微軟的認證機制——OAuth 2.0設備授權許可流程——允許用戶在輸入功能有限的設備(如智能電視)上,通過在另一臺設備(如智能手機或個人電腦)上粘貼代碼或掃描二維碼來登錄其微軟賬戶。這種便利性也為攻擊者提供了濫用該流程的機會,他們可能劫持賬戶,并通過竊取的刷新令牌維持對賬戶的控制。
攻擊者向受害者發送偽裝成律師事務所來函的電子郵件,并附上一個受密碼保護的PDF文件。受害者打開PDF文件并輸入密碼后,會看到一個列出了多份文件的網頁。要查看這些文件,需要點擊頁面上提供的鏈接,該鏈接指向一個合法的微軟網址。然而,URL參數被設置為:當用戶打開微軟頁面后,會將其重定向到一個釣魚網站。
![]()
![]()
該釣魚頁面設置了多個驗證碼,推測其目的是過濾掉用于檢測網站威脅的安全機器人。通過驗證碼后,用戶會被引導至最終頁面,該頁面指示他們復制一個一次性代碼。而這個代碼,正是攻擊者已在自身一側啟動登錄流程后所獲取到的。
![]()
釣魚頁面上的一次性驗證碼
點擊顯示的一次性驗證碼后,系統會自動將其復制到剪貼板,同時將用戶重定向至微軟真正的、正規的身份驗證頁面,并在該頁面上提示用戶粘貼并輸入該驗證碼。
![]()
用戶輸入該驗證碼后,多因素認證流程即告完成,攻擊者隨即獲取了會話令牌。這使他們能夠讀取并發送受害者郵箱中的郵件、從 OneDrive 中竊取文件,以及訪問 Teams聊天記錄。
“攻擊者并不總是依賴竊取憑據或部署惡意軟件來獲取敏感數據——他們還可以將合法工具作為攻擊手段。因此,用戶不僅要在訪問可疑網站時保持警惕,在使用官方平臺時也需提高警覺。我們建議企業團隊評估設備代碼流(Device Code Flow)在其企業基礎設施中的業務必要性。如果日常運營中不需要此身份驗證機制,則應將其禁用,“卡巴斯基反垃圾郵件專家Roman Dedenok評論說。
卡巴斯基大中華區總經理鄭啟良表示:“當前網絡釣魚攻擊手段正持續迭代,攻擊者不再局限于傳統盜號、投放惡意程序,轉而深挖正規平臺認證流程漏洞實施欺詐。此次針對微軟設備授權機制的釣魚套路層層偽裝,借助合規頁面跳轉混淆用戶判斷,容易在毫無察覺間泄露賬號權限。企業不能只靠終端防護,需重新梳理內部認證權限配置,同步強化全員安全意識,郵件網關防護與日常風險宣教結合,才能從源頭降低此類新型釣魚帶來的數據泄露隱患。”
更多詳情,請參閱Securelist上的報告。
為了建立一套針對設備代碼釣魚攻擊的全面防御體系,企業應部署強大的郵件安全解決方案。對于企業用戶,卡巴斯基郵件服務器安全解決方案憑借其由機器學習算法驅動的多層防御機制,能夠有效抵御各類不斷演變的威脅,讓企業在面對日益復雜的網絡風險時高枕無憂。對于個人用戶,卡巴斯基優選版提供了基于人工智能的反釣魚功能,幫助用戶規避釣魚攻擊并提升整體網絡安全水平。
關于卡巴斯基
卡巴斯基是一家成立于1997年的全球網絡安全與數字隱私公司。憑借其網絡免疫概念,卡巴斯基致力于推動行業創新,保護消費者、企業、關鍵基礎設施及政府機構免受網絡威脅。迄今為止,已有超過十億臺設備受到卡巴斯基的保護。
卡巴斯基確保“忠于業務”的網絡安全,專注于提供明確的結果、保護營收、減輕工作負載并防止系統停機。卡巴斯基深厚的威脅情報和安全專業知識不斷轉化為適用于各種規模組織(從小型企業到大型企業)的創新解決方案和服務,將經過驗證的AI 驅動防護技術與簡單的管理和專家支持相結合。
卡巴斯基廣受獨立測試機構認可,并獲得全球數百萬個人用戶及近20萬家企業的信賴。我們助力客戶更早發現威脅、更快做出響應,并以更大的信心和自由度開展業務,從而保護客戶最核心的價值。了解更多信息,請訪問www.kaspersky.com。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.