FBI警告Kali365釣魚即服務竊取Microsoft 365權杖,企業應限制裝置代碼流程

來源: iThome | 日期: 2026-05-26 | URL: https://www.ithome.com.tw/news/176121

威脅概述

  • Kali365:新興釣魚即服務(PhaaS)平台,透過 Telegram 散布
  • 攻擊目標:Microsoft 365 環境
  • 核心手法:裝置代碼釣魚(Device Code Phishing),竊取 OAuth 權杖並繞過 MFA

攻擊流程

  1. 攻擊者冒充雲端生產力/文件共享服務寄送釣魚郵件
  2. 郵件內含裝置代碼,引導受害者至真正的 Microsoft 驗證頁面輸入
  3. 受害者完成驗證後,實質上授權攻擊者控制的裝置存取帳號
  4. 攻擊者取得存取權杖與更新權杖,無需密碼或 MFA 即可持續存取

可存取服務:Outlook、Teams、OneDrive 等 Microsoft 365 服務

防護建議

FBI 建議

  • 限制或封鎖裝置代碼流程(Device Code Flow)
  • 建立條件式存取(CA)政策前,先稽核既有使用情況
  • 封鎖驗證轉移政策,防止驗證狀態從電腦轉移至行動裝置
  • 無法完全停用時,排除緊急存取帳號避免鎖定

Arctic Wolf 補充建議(Microsoft Entra)

  • 透過條件式存取政策封鎖裝置代碼流程
  • 若會議室裝置、IoT、數位看板需使用,限制僅開放特定可信任 IP 位址、裝置平台或服務帳號群組
  • 啟用 Microsoft Entra ID Protection 登入風險政策偵測異常登入
  • 搭配資安意識訓練,讓員工能辨識並回報釣魚手法

衍生頁面