微软在全力推广通行密钥,试图让“无密码”成为安全新常态,但攻击者已经瞄准了它的注册环节。Okta将一个威胁组织标记为O-UNC-066,其利用语音钓鱼和伪造的Entra通行密钥注册页面,针对食品饮料、科技、医疗、汽车、建筑和航空等多个行业发起攻击,目的是数据勒索。

这套操作的起点是域名——攻击者专门抢注包含“passkey”字样的域名,然后拿起电话直接联系目标用户。Okta研究员Houssem Eddine Bordjiba指出,他们会伪装成内部支持人员,说服对方必须立即注册一个新的通行密钥。用户一旦相信,就会被带到一个与微软原生流程无异的钓鱼页面,以为自己正在添加密钥,实际上却让攻击者把一枚由他们控制的通行密钥绑到了受害者的Microsoft 365账户上。

打开网易新闻 查看精彩图片

时机选得很巧。微软近期允许管理员配置注册推广,在登录环节催促用户启用通行密钥,以帮助企业大规模部署。攻击者正是把这套本该抵抗钓鱼的升级流程,变成了钓鱼的诱饵。他们滥用的不是技术漏洞,而是用户对“安全提升”提示的本能信任。

和那些只偷凭证和MFA令牌的中间人攻击页面不同,这次使用的钓鱼工具是一个由操作员实时控制的PHP面板。电话那头的骗子可以根据受害者当前启用的多因素认证方式——无论是动态口令、号码匹配的推送通知还是短信验证码——动态调整受害者看到的页面内容,步步诱导用户批准攻击者发起的密钥注册请求。

攻击被拆解成几个清晰的步骤:受害者最先进入“/gate”页面,看到加载图标,背后却在执行反分析检查;接着在“/identify”页面输入用户名,随后“/password”页面索要密码;凭据一旦提交,就被POST到后台的“/backend.php”。此时另一名操作员(很可能和打电话的人不是同一人)会用这些信息登录账户,触发并完成通行密钥的注册,最终接管整个账号。Okta称,目前没有迹象表明该工具会把用户重定向到Okta这类第三方身份提供商,这表明攻击完全潜藏在微软生态内部,受害者更难察觉异常。

通行密钥的设计初衷就是对抗钓鱼,但这波攻击提醒我们:当社会工程足够精准,连防钓鱼的注册流程都可以被反转成入侵通道。对于企业来说,光部署技术要求还不够,员工必须清楚认知到——哪怕来电显示是“IT部门”,也不该轻易被引导着去操作账户。