Tycoon 2FA被用於裝置驗證碼網釣,駭客搭配Trustifi追蹤器挾持M365帳號
- 來源:iThome(ID: 427)
- URL:https://www.ithome.com.tw/news/175906
- 發布日期:2026-05-18
- Guardrail:PASS(風險分數 5/100)
摘要
2026年3月,Europol 聯合六國執法機構查封 Tycoon 2FA 330個網域名稱。執法行動後,駭客於4月起快速調整策略,改採 OAuth 裝置驗證授權(Device Code)手法,不再詢問密碼,搭配 Trustifi 點擊追蹤服務產生釣魚 URL,偽裝成 Microsoft Authentication Broker 的 OAuth 用戶端程式,目標為竊取 Microsoft 365 帳號。
攻擊鏈
- 偽造發票通知寄送釣魚信
- 受害者點擊後經 Cloudflare Workers 多層轉址
- 導向
microsoft.com/devicelogin - 誘騙授權者將 OAuth 權杖給予攻擊者裝置
- 成功後導回真實 Outlook(掩蓋痕跡)
攻擊者可獲得的存取範圍
- Exchange Online
- Microsoft Graph
- OneDrive for Business
防禦建議(eSentire)
- 實作 Entra 條件存取政策
- 停用終端使用者 OAuth 裝置驗證流程
- 限制使用者自行授權 OAuth 應用程式
- 第三方應用程式須經管理員核准
衍生頁面
- Tycoon 2FA改用OAuth裝置碼網釣攻擊M365帳號 — 主要概念頁
- microsoft-365 — 攻擊目標平台