FBI警告Kali365釣魚即服務竊取Microsoft 365權杖,企業應限制裝置代碼流程
來源: iThome | 日期: 2026-05-26 | URL: https://www.ithome.com.tw/news/176121
威脅概述
- Kali365:新興釣魚即服務(PhaaS)平台,透過 Telegram 散布
- 攻擊目標:Microsoft 365 環境
- 核心手法:裝置代碼釣魚(Device Code Phishing),竊取 OAuth 權杖並繞過 MFA
攻擊流程
- 攻擊者冒充雲端生產力/文件共享服務寄送釣魚郵件
- 郵件內含裝置代碼,引導受害者至真正的 Microsoft 驗證頁面輸入
- 受害者完成驗證後,實質上授權攻擊者控制的裝置存取帳號
- 攻擊者取得存取權杖與更新權杖,無需密碼或 MFA 即可持續存取
可存取服務:Outlook、Teams、OneDrive 等 Microsoft 365 服務
防護建議
FBI 建議
- 限制或封鎖裝置代碼流程(Device Code Flow)
- 建立條件式存取(CA)政策前,先稽核既有使用情況
- 封鎖驗證轉移政策,防止驗證狀態從電腦轉移至行動裝置
- 無法完全停用時,排除緊急存取帳號避免鎖定
Arctic Wolf 補充建議(Microsoft Entra)
- 透過條件式存取政策封鎖裝置代碼流程
- 若會議室裝置、IoT、數位看板需使用,限制僅開放特定可信任 IP 位址、裝置平台或服務帳號群組
- 啟用 Microsoft Entra ID Protection 登入風險政策偵測異常登入
- 搭配資安意識訓練,讓員工能辨識並回報釣魚手法
衍生頁面
- FBI警告Kali365裝置代碼釣魚即服務竊取Microsoft 365 OAuth權杖 — 主要概念頁面
- sonicwall — 相關資安廠商(SonicWall 同期警報)