每天有數(shù)百家機(jī)構(gòu)在一場(chǎng)以AI為核心驅(qū)動(dòng)的微軟設(shè)備碼釣魚活動(dòng)中遭到入侵，攻擊者幾乎在整個(gè)攻擊鏈的每個(gè)環(huán)節(jié)都引入了AI與自動(dòng)化技術(shù)，最終潛伏于企業(yè)郵箱內(nèi)部，大肆竊取財(cái)務(wù)數(shù)據(jù)。

微軟安全研究副總裁Tanmay Ganacharya向The Register透露："自2026年3月15日起，我們每24小時(shí)就能觀察到10至15個(gè)獨(dú)立攻擊活動(dòng)的啟動(dòng)。"

他進(jìn)一步說明："每個(gè)活動(dòng)均以規(guī)?；绞秸归_，針對(duì)數(shù)百家機(jī)構(gòu)投放高度多樣化且各異的攻擊載荷，這使得基于特征模式的檢測(cè)愈發(fā)困難。我們持續(xù)監(jiān)測(cè)到高頻攻擊行為，受影響環(huán)境中每日發(fā)生數(shù)百起入侵事件。"

他還表示，攻擊者跨行業(yè)、跨地域地將全球各類機(jī)構(gòu)列為打擊對(duì)象。盡管本次釣魚活動(dòng)目前尚未歸因于特定的黑客組織，但其使用的工具與基礎(chǔ)設(shè)施與"EvilTokens"存在高度相似之處。

EvilTokens是一款新型微軟設(shè)備碼釣魚工具套件，自二月中旬起以服務(wù)形式對(duì)外出售，購買者可借此繞過多因素認(rèn)證（MFA），并以受害者身份悄無聲息地完成對(duì)其所在機(jī)構(gòu)Microsoft 365應(yīng)用的身份驗(yàn)證。該套件的運(yùn)營者還承諾，即將將支持范圍擴(kuò)展至Gmail及Okta的釣魚頁面。

盡管此次活動(dòng)似乎廣泛針對(duì)各行各業(yè)的機(jī)構(gòu)，但Ganacharya指出："入侵后的活動(dòng)呈現(xiàn)出一貫的規(guī)律——攻擊者重點(diǎn)關(guān)注財(cái)務(wù)相關(guān)角色，并在此類賬戶中實(shí)施自動(dòng)化郵件竊取。"

微軟研究人員在一篇發(fā)布于周一的博文中詳細(xì)闡述了此次設(shè)備碼攻擊，并指出這"標(biāo)志著威脅行為者攻擊復(fù)雜程度的重大升級(jí)"。

設(shè)備碼認(rèn)證的運(yùn)作機(jī)制

智能電視、打印機(jī)及其他不支持標(biāo)準(zhǔn)交互式登錄的物聯(lián)網(wǎng)設(shè)備，通常采用OAuth 2.0的設(shè)備碼認(rèn)證方式。該機(jī)制會(huì)在設(shè)備上向用戶顯示一段短碼，并指引用戶在另一臺(tái)設(shè)備的瀏覽器中輸入該碼以完成認(rèn)證。這為用戶提供了便捷的登錄體驗(yàn)，但也帶來了一定的安全隱患。

微軟警告稱："由于認(rèn)證是在另一臺(tái)設(shè)備上完成的，發(fā)起請(qǐng)求的會(huì)話與用戶的原始上下文之間缺乏強(qiáng)綁定關(guān)系。"

這使其對(duì)試圖繞過多因素認(rèn)證（MFA）并劫持用戶賬戶的攻擊者極具吸引力——攻擊者只需發(fā)起設(shè)備碼認(rèn)證流程，例如通過釣魚誘餌發(fā)送驗(yàn)證碼，再等待用戶輸入驗(yàn)證碼，即可在用戶毫不知情的情況下獲得賬戶的訪問授權(quán)。

攻擊流程詳解

在本次活動(dòng)中，攻擊者查詢了GetCredentialType——一個(gè)用于確定用戶認(rèn)證方式的微軟API接口，借此確認(rèn)目標(biāo)郵件地址是否存在于租戶中并處于活躍狀態(tài)。

這一偵察階段至關(guān)重要，通常在實(shí)際釣魚嘗試發(fā)起前10至15天進(jìn)行。

隨后，攻擊者利用AI針對(duì)目標(biāo)角色生成高度個(gè)性化的釣魚郵件，內(nèi)容涵蓋提案請(qǐng)求、發(fā)票及生產(chǎn)流程等主題。這些郵件包含惡意附件或直接URL，但攻擊者在初始郵件中并不直接鏈接至最終的釣魚頁面。

取而代之的是，他們通過被入侵的合法域名，在Railway、Cloudflare Workers、DigitalOcean及AWS Lambda等受信任的無服務(wù)器平臺(tái)上自動(dòng)化部署了一系列跳轉(zhuǎn)重定向。此舉有助于釣魚郵件規(guī)避自動(dòng)化URL掃描器和沙箱的檢測(cè)，同時(shí)與正常的企業(yè)云流量混為一談。

最終的釣魚頁面——攻擊者在此處真正竊取受害者憑證——偽裝成網(wǎng)頁內(nèi)嵌的合法瀏覽器窗口。頁面提示用戶點(diǎn)擊按鈕進(jìn)行身份驗(yàn)證，點(diǎn)擊后跳轉(zhuǎn)至"Microsoft.com/devicelogin"并展示設(shè)備碼。

動(dòng)態(tài)驗(yàn)證碼生成是關(guān)鍵

微軟指出，此次活動(dòng)成功的"關(guān)鍵要素"在于攻擊者采用了動(dòng)態(tài)設(shè)備碼生成機(jī)制，而非靜態(tài)釣魚手段。

設(shè)備碼的有效期僅為15分鐘。若在原始釣魚郵件中使用預(yù)生成的驗(yàn)證碼，則留給目標(biāo)用戶打開郵件、點(diǎn)擊多級(jí)重定向、并最終協(xié)助攻擊者繞過MFA、劫持賬戶的時(shí)間窗口極為有限。

而本次活動(dòng)將驗(yàn)證碼生成環(huán)節(jié)移至重定向鏈的最終階段，意味著15分鐘的倒計(jì)時(shí)直到受害者進(jìn)入最終釣魚頁面才開始計(jì)時(shí)。以下是受害者看到設(shè)備碼后的完整流程：

一旦用戶完成登錄流程，實(shí)時(shí)訪問Token便被發(fā)送至攻擊者控制的計(jì)算機(jī)，從而使數(shù)據(jù)竊賊得以繞過MFA并登錄目標(biāo)賬戶。

入侵后的持久化行為

據(jù)微軟介紹，入侵后的非法活動(dòng)因攻擊者的具體目標(biāo)而異。在部分案例中，攻擊者在10分鐘內(nèi)注冊(cè)新設(shè)備，以生成主刷新Token（PRT），實(shí)現(xiàn)長期駐留。在其他案例中，攻擊者則等待數(shù)小時(shí)后再竊取敏感郵件數(shù)據(jù)或創(chuàng)建收件箱規(guī)則——例如，轉(zhuǎn)發(fā)主題中含有"工資單"或"發(fā)票"等關(guān)鍵詞的敏感郵件。

防御建議

為避免遭受此類設(shè)備賬戶釣魚攻擊，應(yīng)僅在絕對(duì)必要時(shí)才允許設(shè)備碼流程。微軟建議在可能的情況下予以封鎖。

此外，還應(yīng)培訓(xùn)員工識(shí)別常見釣魚手法，例如包含可疑鏈接的"[EXTERNAL]（外部）"郵件。微軟指出："自2021年起，微軟Azure在交互過程中會(huì)提示用戶確認(rèn)（'取消'或'繼續(xù)'）其是否正在登錄預(yù)期應(yīng)用，而這一確認(rèn)選項(xiàng)在釣魚登錄中通常是缺失的。"

Q&A

Q1：什么是微軟設(shè)備碼釣魚攻擊？它是如何運(yùn)作的？

A：微軟設(shè)備碼釣魚攻擊利用OAuth 2.0設(shè)備碼認(rèn)證機(jī)制實(shí)施入侵。攻擊者向目標(biāo)用戶發(fā)送包含重定向鏈接的釣魚郵件，誘導(dǎo)用戶進(jìn)入偽造的微軟登錄頁面并輸入動(dòng)態(tài)設(shè)備碼。一旦用戶完成"驗(yàn)證"，攻擊者即可獲取實(shí)時(shí)訪問Token，從而繞過多因素認(rèn)證（MFA），直接登錄受害者的Microsoft 365賬戶，進(jìn)而竊取郵件、財(cái)務(wù)數(shù)據(jù)等敏感信息。

Q2：EvilTokens工具套件有哪些主要能力？

A：EvilTokens是一款自2026年2月中旬起以服務(wù)形式出售的微軟設(shè)備碼釣魚工具套件。它能夠幫助買家繞過多因素認(rèn)證（MFA），并以受害者身份悄無聲息地完成對(duì)Microsoft 365應(yīng)用的身份驗(yàn)證。此外，其運(yùn)營者還承諾即將擴(kuò)展支持Gmail和Okta的釣魚頁面，進(jìn)一步拓寬攻擊范圍。

Q3：企業(yè)如何防范微軟設(shè)備碼釣魚攻擊？

A：防范此類攻擊可從以下幾點(diǎn)入手：一是僅在絕對(duì)必要時(shí)允許設(shè)備碼認(rèn)證流程，其余情況下予以封鎖；二是培訓(xùn)員工識(shí)別釣魚手法，警惕含有可疑鏈接的外部郵件；三是關(guān)注微軟Azure的登錄確認(rèn)提示，若登錄頁面缺少"取消/繼續(xù)"確認(rèn)選項(xiàng)，應(yīng)高度警惕；四是監(jiān)控賬戶異常行為，如短時(shí)間內(nèi)注冊(cè)新設(shè)備或創(chuàng)建異常收件箱轉(zhuǎn)發(fā)規(guī)則。