FBI警告Kali365裝置代碼釣魚即服務竊取Microsoft 365 OAuth權杖
FBI 於 2026 年 5 月 21 日(PSA260521)發出警告,揭露新興釣魚即服務平台 Kali365 透過裝置代碼釣魚(Device Code Phishing)手法竊取 Microsoft 365 OAuth 權杖,成功繞過 MFA。
攻擊手法
Kali365 是一個在 Telegram 上散布的 PhaaS(釣魚即服務)平台。核心技術為 OAuth 裝置代碼流程(Device Code Flow)濫用:
- 攻擊者發送偽裝成雲端服務的釣魚郵件,內含裝置代碼
- 引導受害者至真實 Microsoft 驗證頁面輸入代碼(非偽造網頁,難以識別)
- 受害者完成驗證 = 授權攻擊者控制的裝置
- 攻擊者取得存取權杖(Access Token)與更新權杖(Refresh Token),可持續存取帳號
可濫用服務範圍:Outlook、Teams、OneDrive 等全部 Microsoft 365 服務。此手法與 EvilTokens裝置碼釣魚PhaaS平台竊取Microsoft 365權杖 及 Tycoon 2FA改用OAuth裝置碼網釣攻擊M365帳號 使用相同技術脈絡。
防護措施
FBI 官方建議
- 封鎖或限制裝置代碼流程(Device Code Flow)
- 稽核現有條件式存取(CA)政策後再調整
- 封鎖驗證狀態轉移(Authentication Transfer Policy)
Arctic Wolf 技術建議(Microsoft Entra)
- 透過條件式存取政策,對所有使用者+所有雲端應用程式封鎖裝置代碼流程
- 例外情況(會議室裝置、IoT)限制為:特定可信任 IP、特定裝置平台、特定服務帳號群組
- 啟用 Entra ID Protection 登入風險政策偵測異常登入
影響範圍
任何使用 Microsoft 365 且未限制裝置代碼流程的企業組織。FBI 特別提醒緊急存取帳號應排除在封鎖政策外。
相關實體
- microsoft-365 — 受攻擊目標平台(若已存在)