FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

网络犯罪分子发现了一种将企业安全协议反制为攻击工具的新方法，他们武器化微软的合法认证功能来窃取用户账户。Proofpoint威胁研究团队的最新报告详细介绍了"设备代码钓鱼"攻击的激增情况，这种技术通过诱骗用户在受信任网站上输入代码，就能完全控制其账户。

攻击手法演变：从窃取密码到窃取账户密钥

该攻击活动标志着战术转变：黑客不再直接窃取密码，而是通过OAuth 2.0协议窃取账户本身的"密钥"。攻击利用了设备授权授予流程，这个功能原本设计用于帮助用户在智能电视或打印机等输入能力有限的设备上登录。在合法场景下，设备会显示一个代码，用户需在另一台电脑或手机上输入该代码以授权访问。

利用合法门户实施钓鱼攻击

攻击者劫持了这一流程。他们发送包含代码和微软官方登录门户(microsoft.com/devicelogin)链接的钓鱼邮件。由于网址是合法的，传统的钓鱼培训往往失效。报告警告称："传统钓鱼意识培训通常强调检查网址合法性。这种方法无法有效应对设备代码钓鱼，因为用户是在受信任的微软门户上输入设备代码。"

多类型威胁组织广泛采用

这并非单一组织使用的孤立技术。Proofpoint研究人员观察到"多个威胁集群——包括国家支持型和金融动机型"都在采用这种方法。攻击目标简单但破坏性强：账户接管(ATO)。一旦用户输入代码，攻击者的恶意应用就会获得令牌，从而持久访问受害者的微软365账户。这种访问权限可用于"数据外泄等操作"，且通常能绕过未来会话中对用户密码的需求。

社会工程学制造紧迫感

这些攻击的成功很大程度上依赖于操控用户心理。诱饵通常模仿安全警报或管理请求，制造紧迫感。"这些攻击活动严重依赖社会工程学，最常使用嵌入网址或二维码的诱饵，让用户误以为是在保护账户。"通过将攻击伪装成安全更新或必要验证，攻击者说服用户执行导致自身受损的操作。

绕过MFA防护的新战线

随着组织采用多因素认证(MFA)和FIDO密钥加强防御，攻击者被迫寻找变通方法。滥用合法授权流程似乎成为新的攻击前沿。研究人员总结道："Proofpoint评估认为，随着FIDO兼容MFA控制的采用，对OAuth认证流程的滥用将持续增长。"

参考来源：

Hackers Abuse “Device Codes” to Bypass Security and Seize Microsoft 365 Accounts

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）