資安廠商Proofpoint指出,近期出現濫用Microsoft 365 OAuth裝置碼授權流程的網路釣魚活動,涵蓋多個攻擊團體,其中包含可能與俄羅斯陣營相關的組織UNK_AcademicFlare。攻擊者誘導受害者在微軟官方驗證頁輸入裝置碼,讓受害者不自覺替攻擊者的應用程式完成授權,進而取得權杖並接管帳號與竊取資料。
研究人員說明,該手法高度仰賴社交工程。受害者收到看似有人分享文件或要求重新驗證的通知,連結可能藏在按鈕、文字超連結,或透過QR Code引導。使用者點開連結後,通常會先進到攻擊者控制的頁面,頁面可能直接顯示裝置碼,或在後續由攻擊者寄出第二封信提供裝置碼。攻擊者在這些內容中把裝置碼宣稱為一次性密碼或安全驗證步驟,並要求使用者前往微軟官方驗證入口輸入。使用者一旦照做並完成驗證,實際上是在替攻擊者控制的應用程式完成授權。
UNK_AcademicFlare攻擊者使用被入侵的政府或軍事機構信箱,先進行看似正常的往來,再以分享資料或安排訪談為由提供連結,導入裝置碼授權流程,目標涵蓋美國與歐洲的政府單位、智庫與高等教育等組織,並指出其多次使用俄烏相關誘餌內容,作為判斷其與俄羅斯陣營相關的佐證之一。
與傳統釣魚不同,裝置碼釣魚不一定要求受害者在仿冒頁面輸入密碼,關鍵操作常被移到可信任的官方入口,例如引導使用者在microsoft.com/devicelogin等微軟頁面輸入裝置碼並完成應用程式授權。由於相關紅隊工具與可用於此類活動的惡意應用程式已在地下社群流通,組織在風險評估上需要把該釣魚手法視為可規模化的威脅類型。
研究人員建議優先在身分與存取控管層面限制裝置碼流程使用,例如透過條件式存取政策封鎖裝置碼流程,並先以僅報告模式或檢視既有登入紀錄評估政策影響,要是無法全面封鎖,則可改採允許清單做法,只開放核准的使用情境與範圍。當組織已導入裝置註冊或Microsoft Intune等裝置管理機制,也可要求登入必須來自合規或已加入的裝置,作為分層防護。
同時,單靠檢查網址的做法難以涵蓋此類風險,組織應將訓練重點,放在提醒員工不要替不明來源提供的裝置碼完成輸入與授權,並建立可快速求證的流程,避免員工在急於查看文件或訊息往來時,無意間把存取權交給攻擊者。
熱門新聞
2025-12-22
2025-12-23
2025-12-19
2025-12-22
2025-12-23
2025-12-23