Tycoon 2FA被用於裝置驗證碼網釣,駭客搭配Trustifi追蹤器挾持M365帳號

摘要

2026年3月,Europol 聯合六國執法機構查封 Tycoon 2FA 330個網域名稱。執法行動後,駭客於4月起快速調整策略,改採 OAuth 裝置驗證授權(Device Code)手法,不再詢問密碼,搭配 Trustifi 點擊追蹤服務產生釣魚 URL,偽裝成 Microsoft Authentication Broker 的 OAuth 用戶端程式,目標為竊取 Microsoft 365 帳號。

攻擊鏈

  1. 偽造發票通知寄送釣魚信
  2. 受害者點擊後經 Cloudflare Workers 多層轉址
  3. 導向 microsoft.com/devicelogin
  4. 誘騙授權者將 OAuth 權杖給予攻擊者裝置
  5. 成功後導回真實 Outlook(掩蓋痕跡)

攻擊者可獲得的存取範圍

  • Exchange Online
  • Microsoft Graph
  • OneDrive for Business

防禦建議(eSentire)

  • 實作 Entra 條件存取政策
  • 停用終端使用者 OAuth 裝置驗證流程
  • 限制使用者自行授權 OAuth 應用程式
  • 第三方應用程式須經管理員核准

衍生頁面