首页 / 资讯 / 行业动态 / 新型微软OAuth钓鱼攻击来袭!利用官方设备授权漏洞窃取账号Token

新型微软OAuth钓鱼攻击来袭!利用官方设备授权漏洞窃取账号Token

时间:2026-07-09 12:16:07 来源:51DNS.COM
分享:

近日,卡巴斯基发布安全预警,2026年4至5月期间监测到多起针对性极强的新型网络钓鱼攻击。攻击者依托微软身份平台的OAuth2.0设备授权流程实施诈骗,利用官方正规域名伪装风控页面,迷惑性极强,大量企业办公账号遭到入侵,引发网络安全行业高度警惕。与传统钓鱼攻击不同,本次攻击全程依托微软官方认证链路,可绕过基础安全防护与常规风控机制,隐蔽性与危害性远超普通诈骗手段。

钓鱼攻击

一、攻击原理:滥用OAuth设备授权流程窃取核心令牌

本次攻击的核心漏洞在于OAuth2.0设备授权授予机制。正常授权流程中,用户需通过设备访问微软官方认证地址,如microsoft.com/devicelogin,输入专属一次性授权代码完成身份核验,服务器校验通过后下发access_token、refresh_token、id_token三类核心令牌。其中access_token有效期仅1小时,但refresh_token可实现静默续期,让攻击者长期持有账号访问权限。

攻击者精准利用该流程缺陷篡改攻击链路,无需破解账号密码,仅通过诱导用户完成官方页面认证,即可合法获取全套令牌。区别于普通仿站钓鱼,此次攻击跳转、认证、令牌获取均基于微软官方接口,浏览器安全检测、账号风控系统均无法识别拦截,大幅提升攻击成功率。


二、完整攻击链路:层层伪装精准拿捏办公用户

据IT之家援引卡巴斯基博文披露,该攻击拥有成熟完整的诈骗链路,针对性极强。攻击者首先发送伪装律师事务所通知的钓鱼邮件,附带密码保护的恶意PDF文件。受害者解锁密码打开文件后,会进入仿冒文档落地页,诱导用户点击链接查看详情。

该链接表面标注微软合法地址,实则通过URL参数隐秘跳转至仿冒企业法务门户的钓鱼页面。页面设置多重人机验证迷惑用户,随后引导受害者复制专属一次性授权代码。该代码由攻击者提前从微软官方接口获取,用户复制跳转至微软真实认证页面并完成多因素认证后,攻击者便可顺利窃取全套账号令牌。


三、攻击危害:全面接管企业微软办公账号

一旦攻击得逞,攻击者可凭借窃取的Token,全面操控受害者微软办公账号,权限覆盖多类核心办公场景。不仅可以随意读取、收发用户邮箱邮件,窃取办公机密资料,还能导出OneDrive云端存储文件、查看篡改Teams聊天对话内容。对于企业而言,极易造成商业数据泄露、办公信息篡改、业务诈骗等重大安全事故,给企业经营带来严重损失。


四、防范方案:个人与企业双重防护指南

针对此次新型钓鱼攻击,普通用户与企业需升级防护策略。个人端需警惕陌生办公邮件、律所通知类信息,绝不随意解锁陌生加密PDF、点击未知链接,不在非官方场景输入微软授权代码。企业需完善邮件审核机制,拦截陌生可疑办公邮件,常态化开展员工安全培训。同时严格管控OAuth授权权限,定期核查账号异常授权记录,及时清理陌生设备授权,从源头规避账号被盗风险。

依托官方平台的新型钓鱼攻击已成为网络安全新隐患,突破了传统防护认知。唯有认清攻击原理、提升安全警惕、落实常态化风控,才能有效抵御OAuth授权类诈骗,守住企业与个人的账号和数据安全底线。

关键词:

在线咨询

联系我们