周三下午,你收到一封律师函邮件。附件是个加密PDF,看起来很正式。你输入密码打开,里面有个链接说“点击查看重要文件”。你点了——页面跳转到一个法律门户网站,还有验证码检测,一切都很正常。最后一步,页面让你复制一个一次性代码,然后自动跳转到微软的官方登录页面。你看了看浏览器地址栏,确认网址没错,粘贴代码,完成登录。
账号丢了。
![]()
这不是你的疏忽。Securelist研究团队在2026年4月至5月中旬追踪到一波真实的钓鱼攻击,攻击者没有伪造任何登录界面,受害者自始至终都在微软自家的认证页面上操作。Securelist在与Cyber Security News分享的报告里描述了这套手法:攻击对象是微软一个叫“设备授权授予”的功能,也叫设备代码流程,这功能本来是为没有键盘的设备设计的——比如智能电视、打印机——让你在手机上输个码就能帮设备登录账号。攻击者找到了劫持这个机制的方法。
整个攻击链路分四步走。第一步,受害者打开钓鱼邮件里的PDF附件,文档里的链接把人引到一个伪造的法律门户页面,这个页面加了验证码检测,专门拦截自动扫描工具。第二步,通过验证后,页面出现一个一次性代码,提示你复制。第三步,点击复制的同时,浏览器自动跳转到微软真正的认证页面——地址栏里写着login.microsoftonline.com。第四步,你把代码粘贴进去,完成验证。
问题出在你看不见的那条线。在你还没打开那封邮件之前,攻击者的系统已经提前向微软服务器申请了这个一次性代码。你一粘贴一确认,微软就把访问令牌发给了攻击者。拿到令牌后,对方不需要知道你的密码,就能读你的邮件、下你的OneDrive文件、翻你的Teams聊天记录。这套攻击绕过了两条最常见的防护建议——检查网址和开启多因素认证。网址确实是微软的,没造假。多因素认证在这一步之前就已经完成,代码一经确认,令牌直接下发。
这不是一次性的小打小闹。Securelist注意到,同一个攻击组织在不同地区还做了变体调整。他们追踪到一个针对巴西用户的版本,连PDF附件都省了——改用正规图表网站的链接做跳板,最终仍然把受害者引到同样的一次性代码页面和同样的微软官方登录页。攻击手段在迁移,但核心思路没变:既然用户学会了怀疑假网址,那就用真网址;既然用户习惯了不再暴露密码,那就盯上令牌这个环节。
多因素认证保护的是密码那一步,令牌偷窃却发生在认证之后。Securelist的报告含蓄地指出了一点:设备代码流程的设计信任的是“正在操作这台设备的人就是设备的主人”,而这次的攻击恰好利用了这种信任。你帮“打印机”登录了账号——只不过这台“打印机”坐在另一个时区。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.