Tycoon 2FA 改用 OAuth 裝置碼網釣攻擊 M365 帳號
概述
Tycoon 2FA 原為知名的 AiTM(Adversary-in-the-Middle)PhaaS 平台,以截取 MFA cookie 著稱。2026年3月遭 Europol 聯合六國執法機構查封 330 個網域名稱後,駭客快速轉型,4月起改採 OAuth 裝置驗證碼(Device Code) 網釣手法攻擊 Microsoft 365 帳號。
新手法特點
- 不詢問密碼:完全依賴 OAuth 裝置碼授權流程,比傳統 AiTM 更難偵測
- Trustifi 追蹤器:利用合法電子郵件行銷服務 Trustifi 的點擊追蹤功能產生釣魚 URL,提升可信度
- 偽裝合法應用:冒充 Microsoft Authentication Broker 的 OAuth 用戶端,在 Entra 遙測中顯示為正常微軟應用活動
- Cloudflare Workers 轉址:多層轉址增加分析難度
攻擊流程
- 偽造發票通知郵件 → Trustifi 追蹤連結
- Cloudflare Workers 多層轉址
- 導至合法
microsoft.com/devicelogin頁面 - 受害者輸入攻擊者控制的裝置碼,完成 OAuth 授權
- 攻擊者取得 Token,可存取 Exchange Online、Microsoft Graph、OneDrive for Business
- 成功後導回真實 Outlook 收件匣(掩蓋攻擊痕跡)
執法行動背景
- 2026年3月,Europol 與六國執法機構、13家企業合作,查封 Tycoon 2FA 330個網域名稱
- 駭客僅約一個月後即完成技術轉型並重新活躍
與 EvilTokens 的關聯
Tycoon 2FA 新手法與 EvilTokens裝置碼釣魚PhaaS平台竊取Microsoft 365權杖 採用相似的 OAuth 裝置碼技術,顯示此攻擊向量在地下市場日益普及。兩者皆針對 M365,防禦措施相同。
防禦建議
- 實作 Entra 條件存取政策,封鎖裝置碼驗證流
- 停用終端使用者 OAuth 裝置驗證流程
- 限制使用者自行授權 OAuth 應用程式
- 所有第三方 OAuth 應用程式須經管理員核准
來源文章
- ithome-2026-05-18-tycoon-2fa-device-code-phishing-175906 — 原始來源(iThome 2026-05-18)
相關頁面
- microsoft-365 — 主要攻擊目標
- EvilTokens裝置碼釣魚PhaaS平台竊取Microsoft 365權杖 — 相似攻擊手法(同期)