研究人员发现,俄罗斯间谍利用复杂的网络钓鱼技术入侵 Microsoft 365 帐户。这种方法被称为“设备代码钓鱼”,利用的是 OAuth 标准中的“设备代码流”身份验证。该身份验证方式通常用于没有浏览器的设备,如打印机和智能电视,因此无法轻松处理传统的用户名、密码和双重身份验证的登录过程。
在这种攻击中,受感染的设备会显示一个唯一的代码和链接,用户需要在更易访问的设备上输入该代码和链接进行身份验证。此过程允许远程服务器将令牌发送回设备,从而授予其访问帐户的权限。该攻击因其能够绕过一些典型安全措施而显得尤为突出,使其成为老练黑客手中的有力工具。
Volexity 和 Microsoft 均发布公告,强调自至少 8 月以来,这些被认为为俄罗斯政府工作的威胁行为者一直在利用这种方法。他们经常冒充值得信赖的高级官员,通过 Signal、WhatsApp 和 Microsoft Teams 等通信应用程序与目标建立联系,从而获得对敏感帐户的未经授权访问。来源
