每日数百家机构遭微软设备码钓鱼攻击，AI全程驱动渗透全球企业

每天有数百家机构在一场以AI为核心驱动的微软设备码钓鱼活动中遭到入侵，攻击者几乎在整个攻击链的每个环节都引入了AI与自动化技术，最终潜伏于企业邮箱内部，大肆窃取财务数据。

微软安全研究副总裁Tanmay Ganacharya向The Register透露："自2026年3月15日起，我们每24小时就能观察到10至15个独立攻击活动的启动。"

他进一步说明："每个活动均以规模化方式展开，针对数百家机构投放高度多样化且各异的攻击载荷，这使得基于特征模式的检测愈发困难。我们持续监测到高频攻击行为，受影响环境中每日发生数百起入侵事件。"

他还表示，攻击者跨行业、跨地域地将全球各类机构列为打击对象。尽管本次钓鱼活动目前尚未归因于特定的黑客组织，但其使用的工具与基础设施与"EvilTokens"存在高度相似之处。

EvilTokens是一款新型微软设备码钓鱼工具套件，自二月中旬起以服务形式对外出售，购买者可借此绕过多因素认证（MFA），并以受害者身份悄无声息地完成对其所在机构Microsoft 365应用的身份验证。该套件的运营者还承诺，即将将支持范围扩展至Gmail及Okta的钓鱼页面。

尽管此次活动似乎广泛针对各行各业的机构，但Ganacharya指出："入侵后的活动呈现出一贯的规律——攻击者重点关注财务相关角色，并在此类账户中实施自动化邮件窃取。"

微软研究人员在一篇发布于周一的博文中详细阐述了此次设备码攻击，并指出这"标志着威胁行为者攻击复杂程度的重大升级"。

设备码认证的运作机制

智能电视、打印机及其他不支持标准交互式登录的物联网设备，通常采用OAuth 2.0的设备码认证方式。该机制会在设备上向用户显示一段短码，并指引用户在另一台设备的浏览器中输入该码以完成认证。这为用户提供了便捷的登录体验，但也带来了一定的安全隐患。

微软警告称："由于认证是在另一台设备上完成的，发起请求的会话与用户的原始上下文之间缺乏强绑定关系。"

这使其对试图绕过多因素认证（MFA）并劫持用户账户的攻击者极具吸引力——攻击者只需发起设备码认证流程，例如通过钓鱼诱饵发送验证码，再等待用户输入验证码，即可在用户毫不知情的情况下获得账户的访问授权。

攻击流程详解

在本次活动中，攻击者查询了GetCredentialType——一个用于确定用户认证方式的微软API接口，借此确认目标邮件地址是否存在于租户中并处于活跃状态。

这一侦察阶段至关重要，通常在实际钓鱼尝试发起前10至15天进行。

随后，攻击者利用AI针对目标角色生成高度个性化的钓鱼邮件，内容涵盖提案请求、发票及生产流程等主题。这些邮件包含恶意附件或直接URL，但攻击者在初始邮件中并不直接链接至最终的钓鱼页面。

取而代之的是，他们通过被入侵的合法域名，在Railway、Cloudflare Workers、DigitalOcean及AWS Lambda等受信任的无服务器平台上自动化部署了一系列跳转重定向。此举有助于钓鱼邮件规避自动化URL扫描器和沙箱的检测，同时与正常的企业云流量混为一谈。

最终的钓鱼页面——攻击者在此处真正窃取受害者凭证——伪装成网页内嵌的合法浏览器窗口。页面提示用户点击按钮进行身份验证，点击后跳转至"Microsoft.com/devicelogin"并展示设备码。

动态验证码生成是关键

微软指出，此次活动成功的"关键要素"在于攻击者采用了动态设备码生成机制，而非静态钓鱼手段。

设备码的有效期仅为15分钟。若在原始钓鱼邮件中使用预生成的验证码，则留给目标用户打开邮件、点击多级重定向、并最终协助攻击者绕过MFA、劫持账户的时间窗口极为有限。

而本次活动将验证码生成环节移至重定向链的最终阶段，意味着15分钟的倒计时直到受害者进入最终钓鱼页面才开始计时。以下是受害者看到设备码后的完整流程：

一旦用户完成登录流程，实时访问Token便被发送至攻击者控制的计算机，从而使数据窃贼得以绕过MFA并登录目标账户。

入侵后的持久化行为

据微软介绍，入侵后的非法活动因攻击者的具体目标而异。在部分案例中，攻击者在10分钟内注册新设备，以生成主刷新Token（PRT），实现长期驻留。在其他案例中，攻击者则等待数小时后再窃取敏感邮件数据或创建收件箱规则——例如，转发主题中含有"工资单"或"发票"等关键词的敏感邮件。

防御建议

为避免遭受此类设备账户钓鱼攻击，应仅在绝对必要时才允许设备码流程。微软建议在可能的情况下予以封锁。

此外，还应培训员工识别常见钓鱼手法，例如包含可疑链接的"[EXTERNAL]（外部）"邮件。微软指出："自2021年起，微软Azure在交互过程中会提示用户确认（'取消'或'继续'）其是否正在登录预期应用，而这一确认选项在钓鱼登录中通常是缺失的。"

Q&A

Q1：什么是微软设备码钓鱼攻击？它是如何运作的？

A：微软设备码钓鱼攻击利用OAuth 2.0设备码认证机制实施入侵。攻击者向目标用户发送包含重定向链接的钓鱼邮件，诱导用户进入伪造的微软登录页面并输入动态设备码。一旦用户完成"验证"，攻击者即可获取实时访问Token，从而绕过多因素认证（MFA），直接登录受害者的Microsoft 365账户，进而窃取邮件、财务数据等敏感信息。

Q2：EvilTokens工具套件有哪些主要能力？

A：EvilTokens是一款自2026年2月中旬起以服务形式出售的微软设备码钓鱼工具套件。它能够帮助买家绕过多因素认证（MFA），并以受害者身份悄无声息地完成对Microsoft 365应用的身份验证。此外，其运营者还承诺即将扩展支持Gmail和Okta的钓鱼页面，进一步拓宽攻击范围。

Q3：企业如何防范微软设备码钓鱼攻击？

A：防范此类攻击可从以下几点入手：一是仅在绝对必要时允许设备码认证流程，其余情况下予以封锁；二是培训员工识别钓鱼手法，警惕含有可疑链接的外部邮件；三是关注微软Azure的登录确认提示，若登录页面缺少"取消/继续"确认选项，应高度警惕；四是监控账户异常行为，如短时间内注册新设备或创建异常收件箱转发规则。