FBI警告Kali365裝置代碼釣魚即服務竊取Microsoft 365 OAuth權杖

FBI 於 2026 年 5 月 21 日(PSA260521)發出警告,揭露新興釣魚即服務平台 Kali365 透過裝置代碼釣魚(Device Code Phishing)手法竊取 Microsoft 365 OAuth 權杖,成功繞過 MFA。

攻擊手法

Kali365 是一個在 Telegram 上散布的 PhaaS(釣魚即服務)平台。核心技術為 OAuth 裝置代碼流程(Device Code Flow)濫用

  1. 攻擊者發送偽裝成雲端服務的釣魚郵件,內含裝置代碼
  2. 引導受害者至真實 Microsoft 驗證頁面輸入代碼(非偽造網頁,難以識別)
  3. 受害者完成驗證 = 授權攻擊者控制的裝置
  4. 攻擊者取得存取權杖(Access Token)與更新權杖(Refresh Token),可持續存取帳號

可濫用服務範圍:Outlook、Teams、OneDrive 等全部 Microsoft 365 服務。此手法與 EvilTokens裝置碼釣魚PhaaS平台竊取Microsoft 365權杖Tycoon 2FA改用OAuth裝置碼網釣攻擊M365帳號 使用相同技術脈絡。

防護措施

FBI 官方建議

  • 封鎖或限制裝置代碼流程(Device Code Flow)
  • 稽核現有條件式存取(CA)政策後再調整
  • 封鎖驗證狀態轉移(Authentication Transfer Policy)

Arctic Wolf 技術建議(Microsoft Entra)

  • 透過條件式存取政策,對所有使用者+所有雲端應用程式封鎖裝置代碼流程
  • 例外情況(會議室裝置、IoT)限制為:特定可信任 IP、特定裝置平台、特定服務帳號群組
  • 啟用 Entra ID Protection 登入風險政策偵測異常登入

影響範圍

任何使用 Microsoft 365 且未限制裝置代碼流程的企業組織。FBI 特別提醒緊急存取帳號應排除在封鎖政策外。

相關實體

來源文章