龙云宗主^__^ 发表于 2026-7-4 08:45

AI赋能新型攻击:EvilTokens设备码钓鱼爆发,绕开MFA实现账号持久劫持

2026年7月,全球软件行业遭遇AI驱动的EvilTokens设备码钓鱼攻击规模化爆发,攻击规模同比激增1380%,成为当月最严峻的安全威胁。


[*]攻击核心逻辑:

利用OAuth2.0协议的设备授权流(为智能电视、IoT设备设计的合法认证链路),结合生成式AI自动化生成“微软官方设备码”,诱导用户为攻击者控制的第三方客户端授权。该攻击完全复用微软官方登录域名与MFA校验流程,传统邮件安全网关、EDR、域名黑名单等防护手段无法识别,可直接绕过多因素认证(MFA)。

[*]危害与现状:

攻击者通过此方式获取90天有效期的刷新令牌,即便企业员工修改密码,攻击者仍能长期访问Microsoft365邮箱、共享文档、客户数据,实施商业邮件劫持(BEC)、勒索数据出售等牟利行为。监测显示,单轮攻击活动在16天内已入侵344家金融、制造、医疗、政务企业,造成核心数据外泄、资金损失。

[*]防御建议:

需从协议管控、AI检测、令牌治理、人员宣教四维度构建纵深防御:

[*]限制OAuth2.0设备授权的非必要场景使用,通过Microsoft Entra ID配置条件访问策略(如禁止第三方设备授权);
[*]部署AI诱饵语义识别工具,检测设备码请求的个性化特征(如AI生成的诱饵文案);
[*]定期审计Entra ID设备码登录日志,批量回收异常刷新令牌;
[*]开展针对“无伪造页面、无恶意附件”的协议滥用钓鱼专项培训。

tan7177 发表于 2026-7-7 09:30

谢谢分享!!!{:4_90:}{:4_90:}{:4_90:}

wjsfds 发表于 2026-7-9 13:50

好啊!楼主对转发的资讯帖进行了编辑调整 ······,希望楼主明天再发的资讯帖能够将行距和首行缩进调整到位!
页: [1]
查看完整版本: AI赋能新型攻击:EvilTokens设备码钓鱼爆发,绕开MFA实现账号持久劫持