新駭客基礎架構出現,加速裝置碼釣魚、竊取Microsoft 365權杖

來源: iThome | ID: 414 | https://www.ithome.com.tw/news/175885 發布日期: 2026-05-18

摘要

Proofpoint 研究人員發現新型駭客基礎架構,透過隨需動態產生裝置碼(on-demand device code),大幅提升 OAuth 2.0 裝置碼釣魚攻擊成功率,目標為竊取 Microsoft 365 存取權杖。

攻擊原理:裝置碼釣魚(Device Code Phishing)

  • 濫用 OAuth 2.0 裝置授權流程
  • 攻擊流程:發送郵件/QR Code → 誘使受害者點擊 → 觸發裝置代碼輸入 → 暗中將 Microsoft token 傳給攻擊者
  • 成功後攻擊者可直接存取 M365/Outlook,無需再過 MFA
  • 危害:帳號接管、資料竊取、BEC 詐騙、橫向移動

新型攻擊基礎架構特點

舊式手法新式手法
攻擊者預先產生裝置碼隨需(on-demand)動態產生
15分鐘過期風險高用戶點擊後才生成,提高成功率

EvilTokens PhaaS 平台

  • 2026年2月 首現於 Telegram
  • vibe coding(AI生成技術) 建立與維護
  • 提供多種登入頁主題:微軟、Adobe、DocuSign
  • 附屬功能:Portal Browser — 自動化管理多個被駭 M365 帳號,用於擴大 BEC 攻擊
  • 2026年4月觀察到 7個不同 EvilTokens 變種

威脅態勢

  • TA4903 組織於3月利用此手法竊取 M365 憑證進行 BEC
  • 少數攻擊亦以 Google 憑證為目標
  • 類似平台:Tycoon(PhaaS)

防禦建議

  1. 透過條件式存取政策(Conditional Access Policy)封鎖所有使用者的裝置碼驗證流
  2. 或建立白名單,僅允許特定使用者/作業系統/IP 啟用裝置碼驗證

衍生頁面