攻擊手法解析
近期觀察到利用 Microsoft 的 OAuth 設備代碼授權流程進行的網釣攻擊大幅增加。根據 Proofpoint 的最新報告,無論是國家支持背景的攻擊者還是以財務為目的的黑客,皆利用社交工程策略來欺騙用戶批准惡意應用程式,從而取得未授權的 Microsoft 365 帳戶存取權限。
OAuth 2.0 設備授權攻擊
這些攻擊依賴 OAuth 2.0 設備授權流程,這是一個旨在協助用戶在輸入能力有限的設備上進行登入的合法程序。當受害者在 Microsoft 信任的驗證頁面上輸入由攻擊者控制的應用程式生成的設備代碼後,攻擊者即可獲得有效的存取權杖,進而掌控受害者的 Microsoft 365 帳戶。
QR 碼與嵌入式按鈕
儘管設備代碼網釣並不是新技術,但 Proofpoint 觀察到到 2025 年 9 月其使用量急劇增加。研究人員發現大量使用 QR 碼、嵌入式按鈕或超連結文字的攻擊活動,攻擊誘餌通常涉及文件共享、權杖重新授權或安全驗證。
網釣工具的普及
Proofpoint 將此類攻擊活動的增長歸因於易於獲得的網釣工具,這些工具簡化了設備代碼的濫用。
- SquarePhish2:更新版的網釣框架,使用 QR 碼自動化 OAuth 設備授權流程。
- Graphish:一個在黑客論壇上共享的免費網釣套件,支持中間人攻擊及基於 OAuth 的授權濫用。
財務與國家支持活動
Proofpoint 指出,財務動機的攻擊者 TA2723 自 2025 年 10 月開始使用設備代碼網釣,偽裝為工資文件和共享文件來引誘受害者。公司還觀察到來自俄羅斯相關攻擊者的國家支持活動,這些攻擊者採用這種技術作為更廣泛無密碼網釣轉變的一部分。
防禦措施建議
Proofpoint 建議組織應加強 OAuth 控制,並訓練用戶不要輸入來自不受信任來源的設備代碼。
“Proofpoint 評估認為,隨著符合 FIDO 的多因素驗證控制的採用,OAuth 認證流程的濫用將繼續增長。”