钓鱼攻击最可怕的地方,不是黑客技术有多高明,而是他让你在真网站上输入真的认证信息。卡巴斯基最新披露的攻击事件,直接把微软身份平台变成了帮凶。
2026年4到5月,卡巴斯基监测到一起利用微软身份平台OAuth 2.0设备授权流程发起的钓鱼攻击。不同于传统伪造登录页面的手法,攻击者全程使用微软官方域名完成授权,受害者在真页面上完成多因素认证,浑然不觉账号权限已被窃取。
![]()
理解这次攻击,得先搞清楚正常流程长什么样。OAuth 2.0设备授权,原本是为那些没有浏览器输入框的智能电视、打印机准备的。你在设备上看到一串代码,然后打开手机的microsoft.com/devicelogin输入这串码,微软服务器确认后,就把令牌发给你那个设备。这里的关键参数有三个:device_code是设备拿去换令牌的凭证,user_code是你要手动输入的那串短码,verification_uri就是那个让你打开浏览器访问的地址。
客户端拿到user_code之后,会不断轮询微软的token接口,grant_type固定为urn:ietf:params:oauth:grant-type:device_code。如果你还没在页面上确认,服务器就返回authorization_pending或者slow_down,意思是"等着呢"或"问慢点"。一旦你点了确认,access_token、refresh_token、id_token全数下发。access_token有效期只有1小时,过期后设备可以用refresh_token静默换取新的,不需要你再次认证。
卡巴斯基发现的攻击链条,第一步是一封伪装成律师事务所通知的邮件,附件是个带密码保护的PDF。打开PDF后,页面上列着多份文档标题,点击查看却跳转到一个仿冒企业法律门户的钓鱼页面。注意,跳转链接表面指向合法微软地址,实际靠URL参数实现重定向。
钓鱼页面先逼你过几道CAPTCHA验证,降低你的警惕心,然后引导你复制一段一次性代码。这段代码不是随机生成的,而是攻击者的服务器提前从微软的devicecode接口获取的真实user_code。你复制代码后,页面自动跳转到微软真实认证页,你在那儿输入账号密码、通过多因素认证,一切看起来再正常不过。可你不知道的是,攻击者早在服务器那头等着了。
你完成认证的瞬间,access_token、refresh_token、id_token全部落入攻击者手中。这三个令牌能干什么?读取邮箱、发送邮件、导出OneDrive文件、访问Teams对话。攻击者拿到的是你主动授权的合法令牌,安全系统根本分不出谁在用。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.