卡巴斯基发布了一份报告,披露了一起攻击者滥用微软身份验证机制的网络钓鱼攻击活动。该活动从2026年4月初持续至5月中旬,攻击会伪装成律师事务所的通知。其目的是窃取受害者的凭证并访问其数据。此前,卡巴斯基曾警告过利用Google Tasks、Google Forms、Bubble和亚马逊邮件服务进行的网络钓鱼攻击。
微软的认证机制——OAuth 2.0设备授权许可流程——允许用户在输入功能有限的设备(如智能电视)上,通过在另一台设备(如智能手机或个人电脑)上粘贴代码或扫描二维码来登录其微软账户。这种便利性也为攻击者提供了滥用该流程的机会,他们可能劫持账户,并通过窃取的刷新令牌维持对账户的控制。
攻击者向受害者发送伪装成律师事务所来函的电子邮件,并附上一个受密码保护的PDF文件。受害者打开PDF文件并输入密码后,会看到一个列出了多份文件的网页。要查看这些文件,需要点击页面上提供的链接,该链接指向一个合法的微软网址。然而,URL参数被设置为:当用户打开微软页面后,会将其重定向到一个钓鱼网站。
该钓鱼页面设置了多个验证码,推测其目的是过滤掉用于检测网站威胁的安全机器人。通过验证码后,用户会被引导至最终页面,该页面指示他们复制一个一次性代码。而这个代码,正是攻击者已在自身一侧启动登录流程后所获取到的。
钓鱼页面上的一次性验证码
点击显示的一次性验证码后,系统会自动将其复制到剪贴板,同时将用户重定向至微软真正的、正规的身份验证页面,并在该页面上提示用户粘贴并输入该验证码。
用户输入该验证码后,多因素认证流程即告完成,攻击者随即获取了会话令牌。这使他们能够读取并发送受害者邮箱中的邮件、从 OneDrive 中窃取文件,以及访问 Teams聊天记录。
“攻击者并不总是依赖窃取凭据或部署恶意软件来获取敏感数据——他们还可以将合法工具作为攻击手段。因此,用户不仅要在访问可疑网站时保持警惕,在使用官方平台时也需提高警觉。我们建议企业团队评估设备代码流(Device Code Flow)在其企业基础设施中的业务必要性。如果日常运营中不需要此身份验证机制,则应将其禁用,“卡巴斯基反垃圾邮件专家Roman Dedenok评论说。
卡巴斯基大中华区总经理郑启良表示:“当前网络钓鱼攻击手段正持续迭代,攻击者不再局限于传统盗号、投放恶意程序,转而深挖正规平台认证流程漏洞实施欺诈。此次针对微软设备授权机制的钓鱼套路层层伪装,借助合规页面跳转混淆用户判断,容易在毫无察觉间泄露账号权限。企业不能只靠终端防护,需重新梳理内部认证权限配置,同步强化全员安全意识,邮件网关防护与日常风险宣教结合,才能从源头降低此类新型钓鱼带来的数据泄露隐患。”
更多详情,请参阅Securelist上的报告。
为了建立一套针对设备代码钓鱼攻击的全面防御体系,企业应部署强大的邮件安全解决方案。对于企业用户,卡巴斯基邮件服务器安全解决方案凭借其由机器学习算法驱动的多层防御机制,能够有效抵御各类不断演变的威胁,让企业在面对日益复杂的网络风险时高枕无忧。对于个人用户,卡巴斯基优选版提供了基于人工智能的反钓鱼功能,帮助用户规避钓鱼攻击并提升整体网络安全水平。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全与数字隐私公司。凭借其网络免疫概念,卡巴斯基致力于推动行业创新,保护消费者、企业、关键基础设施及政府机构免受网络威胁。迄今为止,已有超过十亿台设备受到卡巴斯基的保护。
卡巴斯基确保“忠于业务”的网络安全,专注于提供明确的结果、保护营收、减轻工作负载并防止系统停机。卡巴斯基深厚的威胁情报和安全专业知识不断转化为适用于各种规模组织(从小型企业到大型企业)的创新解决方案和服务,将经过验证的AI 驱动防护技术与简单的管理和专家支持相结合。
卡巴斯基广受独立测试机构认可,并获得全球数百万个人用户及近20万家企业的信赖。我们助力客户更早发现威胁、更快做出响应,并以更大的信心和自由度开展业务,从而保护客户最核心的价值。了解更多信息,请访问www.kaspersky.com。
热门跟贴