文章总结： 黑客利用OAuth2.0设备授权流程实施设备代码钓鱼，通过诱骗用户在合法微软门户输入代码获取账户令牌。此手法绕过传统URL核查及MFA防护，导致账户接管。随着FIDO普及，此类滥用将增多，建议组织加强对新型社会工程学及合法功能滥用的防范。 综合评分： 80 文章分类： 社会工程学,威胁情报,办公安全

【安全圈】黑客滥用”设备代码”绕过安全防护劫持微软365账户

安全圈

2025年12月22日 19:01 江苏

关键词

黑客

网络犯罪分子发现了一种将企业安全协议反制为攻击工具的新方法，他们武器化微软的合法认证功能来窃取用户账户。Proofpoint威胁研究团队的最新报告详细介绍了”设备代码钓鱼”攻击的激增情况，这种技术通过诱骗用户在受信任网站上输入代码，就能完全控制其账户。

攻击手法演变：从窃取密码到窃取账户密钥

该攻击活动标志着战术转变：黑客不再直接窃取密码，而是通过OAuth 2.0协议窃取账户本身的”密钥”。攻击利用了设备授权授予流程，这个功能原本设计用于帮助用户在智能电视或打印机等输入能力有限的设备上登录。在合法场景下，设备会显示一个代码，用户需在另一台电脑或手机上输入该代码以授权访问。

利用合法门户实施钓鱼攻击

攻击者劫持了这一流程。他们发送包含代码和微软官方登录门户(microsoft.com/devicelogin)链接的钓鱼邮件。由于网址是合法的，传统的钓鱼培训往往失效。报告警告称：”传统钓鱼意识培训通常强调检查网址合法性。这种方法无法有效应对设备代码钓鱼，因为用户是在受信任的微软门户上输入设备代码。”

多类型威胁组织广泛采用

这并非单一组织使用的孤立技术。Proofpoint研究人员观察到”多个威胁集群——包括国家支持型和金融动机型”都在采用这种方法。攻击目标简单但破坏性强：账户接管(ATO)。一旦用户输入代码，攻击者的恶意应用就会获得令牌，从而持久访问受害者的微软365账户。这种访问权限可用于”数据外泄等操作”，且通常能绕过未来会话中对用户密码的需求。

社会工程学制造紧迫感

这些攻击的成功很大程度上依赖于操控用户心理。诱饵通常模仿安全警报或管理请求，制造紧迫感。”这些攻击活动严重依赖社会工程学，最常使用嵌入网址或二维码的诱饵，让用户误以为是在保护账户。”通过将攻击伪装成安全更新或必要验证，攻击者说服用户执行导致自身受损的操作。

绕过MFA防护的新战线

随着组织采用多因素认证(MFA)和FIDO密钥加强防御，攻击者被迫寻找变通方法。滥用合法授权流程似乎成为新的攻击前沿。研究人员总结道：”Proofpoint评估认为，随着FIDO兼容MFA控制的采用，对OAuth认证流程的滥用将持续增长。”

END

阅读推荐

【安全圈】某国企海外子公司疑遭数据泄露

【安全圈】服务器瘫痪近200小时！原因竟是…

【安全圈】朝鲜黑客2025年盗走20.2亿美元加密货币

【安全圈】拳头游戏发现主板致命漏洞，多家厂商紧急修复

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】黑客滥用”设备代码”绕过安全防护劫持微软365账户》