文章总结： 文档揭示了名为EvilTokens的网络钓鱼即服务平台通过OAuth同意钓鱼攻击绕过MFA保护，攻击者诱导用户在微软官方页面完成MFA验证后窃取刷新令牌，该令牌可长期访问邮箱、日历等数据且不受密码重置影响。文章指出OAuth授权因用户习惯性点击同意而成为新攻击面，并提出了审查OAuth应用目录、设置再次同意策略、监控跨应用权限组合等缓解措施。 综合评分： 90 文章分类： 网络钓鱼,应用安全,身份安全,威胁情报,安全运营

新的网络钓鱼点击：授权同意如何绕过MFA

HackSee安全团队 HackSee安全团队

HackSee安全生活

2026年5月20日 19:19 北京

在小说阅读器读本章

去阅读

2026年2月，一个名为EvilTokens的网络钓鱼即服务（PhaaS）平台上线了。在五周内，它已经入侵了五个国家的340多个微软365组织。

该平台的目标收到一条信息，要求他们在microsoft.com/devicelogin上输入一个短代码，完成他们正常的MFA挑战，然后离开，以为他们已经验证了例行登录。他们实际上已经向操作员提供了一个有效的刷新令牌，其范围是他们的邮箱、驱动器、日历和联系人，具有租户策略（而不是会话）的生命周期。

操作员从不需要密码，从不触发MFA提示，也从不产生看起来像入侵的登录事件。攻击之所以成功，是因为OAuth同意屏幕已经变成了一种本能的点击，而为阻止凭据网络钓鱼而构建的控制并不关注同意层。

安全研究人员称这种情况为“同意网络钓鱼”或“OAuth授权滥用”。在过去的十年里，网络钓鱼式的点击很重要，它提供了一个密码。现在，重要的网络钓鱼点击会交出一个刷新令牌，它在结构上位于身份控制之下，大多数组织仍然将其视为边界。

为什么MFA不能看到OAuth Grant

凭据网络钓鱼会提供用户名和密码，这些用户名和密码必须在某个地方重播，现在大多数身份堆栈在重播时都需要第二个因素。甚至中间攻击者（AiTM）工具包也会生成一个会话cookie，该cookie与SIEM根据地理、设备和旅行模式关联的登录事件相关联。

| | | — | | 图1：凭据网络钓鱼留下了SIEM可以关联的登录痕迹。 |

OAuth授权不产生重播凭证。用户在合法身份提供者上进行身份验证，完成合法域上的MFA质疑，然后单击Accept。攻击者带走的令牌是系统按设计工作。它由身份提供者签名，范围为用户同意的任何内容，并且可以刷新。MFA无法阻止它，因为MFA已经发生了。

| | | — | | 图2:OAuth授权不留下重放，只留下一个可刷新的令牌。 |

另一个问题是刷新令牌会扩展窗口。EvilTokens发出的令牌在密码重置后仍然有效，有效期为数周或数月，具体取决于租户配置。轮换密码不会使授权无效。只有明确的撤销，或者需要重新同意的有条件访问策略，才能关闭它。

同意是如何被规范化的

自OAuth成为标准以来，这种攻击向量就一直存在。改变的是它所处的环境。用户已经接受了训练，以他们曾经点击cookie横幅的速度点击同意屏幕。每个AI代理都安装了Surface One。每一次生产力整合都会出现一个问题。每个触及SaaS账户的浏览器扩展都会显示一个。知识工作者在一个月内看到的合法同意的数量超过了编写原始OAuth威胁模型时存在的任何数量。

作用域本身使用的语言不能清晰地映射到风险。一个名为“阅读邮件”的范围听起来很有限，但实际上它涵盖了用户可以访问的所有消息、附件和共享线程。一个名为“当您不在场时访问文件”的作用域意味着在用户没有在屏幕前撤销它的情况下发出的长期令牌。同意语言和操作范围之间的差距正是攻击者操作的地方。

应用程序所有者下面的有毒组合表

一个OAuth同意可以让攻击者在一个应用程序中有一个范围内的立足点。当这些立足点连接起来时，更深层次的风险就形成了。

财务用户授予AI会议摘要器对其日历和邮箱的访问权。这个用户随后授予一个生产力助理访问公司共享驱动器的权限。第三个授权将CRM丰富工具连接到客户数据库。每次只批准一个。没有应用程序所有者批准这种组合。现在的风险面是通过一个人的身份相交的三个范围，会议总结员的妥协可以通过同一个人到达合同草案和客户记录。

这被称为有毒组合。它由跨应用程序的权限分解组成，由OAuth授权、集成或AI代理桥接，没有单个应用程序所有者将其授权为自己的风险面。它不能被任何一个应用程序的审计日志看到，因为桥存在于所有应用程序之外。

| | | — | | 图3：两个软件即服务（SaaS）应用程序之间的有毒组合，没有得到所有者的认可。 |

MCP安装、OAuth同意点击和浏览器扩展授权：每一个都是以一次点击的速度发出的桥接。模型上下文协议（MCP）服务器正在成为下一个oaut风格的攻击面，它允许代理通过已经使用的“一次信任”机制获得范围访问。

2025年的Salesloft-Drift事件显示了这种情况的规模。一个受损的下游连接器通过客户合法批准的OAuth令牌传播到700多个Salesforce租户。每个客户都授权了集成。没有授权级联。

检查什么

要缩小这一差距，就需要像安全程序对待身份验证一样对待OAuth同意。一小部分问题揭示了真正的差距在哪里。

| | | | — | — | | 检讨范围 | 它在实践中看起来是什么样子 | | OAuth应用程序目录 | 每个在租户中持有刷新令牌的第三方应用程序都在不断刷新，而不是在审计时刷新。 | | 授予年龄和再次同意 | 30多天前未经重新批准发行的代币浮出水面。 | | 跨应用程序的身份 | 跨三个或更多SaaS应用程序持有授权的标识，标记以供审查。 | | 代理和集成桥 | 人工智能代理和集成连接两个系统，没有应用程序所有者批准在一起。 | | 经同意有条件查阅资料 | 重新触发同意事件的策略，而不仅仅是登录事件。 | | 标记级撤销 | 一个剧本，它撤销单个OAuth令牌而不是挂起用户。 |

程序性纪律只能扩展到目前为止。这些网桥存在于没有任何单独应用程序拥有的图形中，它们以MCP安装或OAuth同意点击的速度创建。要持续查看这个图，需要构建一个平台来观察桥实际形成的运行时层。

人工智能安全平台适用于哪些领域

一类新的平台可以自动处理这些问题。它们在发布每个OAuth授权、AI代理和第三方集成时就将其映射到身份图中，而不是等待下一次审计，然后将桥接器、未使用的令牌和策略偏差作为连续的操作队列显示出来。

Reco就是一个典型的例子。它将AI代理安全、身份治理和威胁检测整合到一个控制平面中。它的身份知识图将人类和非人类的身份连接到应用程序、OAuth授权以及他们可以跨SaaS资产访问的集成。

| | | — | | 图4:Reco对AI代理的OAuth授权和连接账户的视图。 |

该平台在AI代理和OAuth授权出现时不断发现它们，将每个范围映射回批准它的身份，监控策略偏差的行为，并在令牌级别而不是在用户账户上撤销访问。这使安全团队能够看到这些信任关系实际形成的运行时层。

经过同意的网络钓鱼可能不会在边缘停留太久。抵抗网络钓鱼的身份验证已经获得了多年的投资和审查，而同意层仍然在很大程度上依赖于信任。要缩小这一差距，就意味着要用与身份验证本身相同的可见性、监控和撤销原则来对待OAuth授权和ai代理连接。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：HackSee安全生活 HackSee安全团队 HackSee安全团队《新的网络钓鱼点击：授权同意如何绕过MFA》