行业新闻与博客

已发现滥用微软 OAuth 设备代码授权流程的网络钓鱼活动激增，多个威胁集群利用该技术未经授权访问 Microsoft 365 帐户。

根据 Proofpoint 今天发布的一份新报告，国家支持的和以经济利益为目的的行动者都在利用社会工程手段诱骗用户批准恶意应用程序，从而实现账户接管、数据窃取和进一步的损害。

这些攻击依赖于 OAuth 2.0 设备授权许可，这是一个合法的过程，旨在帮助用户在输入功能有限的设备上登录。

一旦受害者在微软的可信验证页面上输入由攻击者控制的应用程序生成的设备代码，攻击者即可获得有效的访问令牌。该令牌随后可用于控制被入侵的 M365 帐户。

二维码、嵌入式按钮和超链接

虽然设备代码钓鱼不是一种新技术，但 Proofpoint 观察到，到 2025 年 9 月，这种技术的使用量急剧增加。

研究人员注意到，一些攻击活动异常广泛，这些活动利用二维码、嵌入式按钮或超链接文本来发起攻击。诱饵通常声称涉及文档共享、令牌重新授权或安全验证。

12 月 8 日发现的一项攻击活动使用了名为“薪资奖金 + 雇主福利报告 25”的虚假共享文档。受害者会收到来自攻击者控制地址的电子邮件，并被引导至与其组织品牌相匹配的本地化网站。

随后，用户被提示在微软的设备登录页面上输入代码，无意中授予了其帐户访问权限。

Proofpoint 将这些攻击活动的增长归因于现成的网络钓鱼工具，这些工具简化了设备代码滥用。其中两款工具尤为突出：

• SquarePhish2 是一个更新版的网络钓鱼框架，它使用二维码并自动执行 OAuth 设备授权流程。

• Graphish 是一款在经过审核的黑客论坛上分享的免费钓鱼工具包，支持中间人攻击和基于 OAuth 的授权滥用。

这两款工具都设计得易于使用，对技术技能的要求不高，因此可供各种威胁行为者使用。

金融和州协调活动

Proofpoint 表示，一名以经济利益为目的的攻击者（网名为 TA2723）于 2025 年 10 月开始使用设备代码网络钓鱼，伪造工资单和共享文件来引诱受害者。

该公司还观察到一些与国家有关联的活动，特别是来自俄罗斯的行动者，他们采用这种技术，作为向无密码网络钓鱼的更广泛转变的一部分。

一个名为 UNK_AcademicFlare 的疑似与俄罗斯有关联的组织，利用被盗用的电子邮件帐户和伪造的 OneDrive 链接，针对美国和欧洲的政府、学术界和交通运输部门，实施设备代码网络钓鱼工作流程。

据 Proofpoint 称，这些攻击活动的蔓延表明，威胁行为者会多么迅速地将合法的身份验证功能用于恶意目的。

该公司表示，各组织应加强 OAuth 控制，并培训用户不要输入从不受信任的来源收到的设备代码。

“Proofpoint 评估认为，随着符合 FIDO 标准的 MFA 控制措施的普及，OAuth 身份验证流程的滥用现象将继续增长。”