微软威胁情报团队发现,一种名为“设备码钓鱼”的复杂网络钓鱼活动,正被用于窃取用户身份认证令牌。这种攻击手段被一个名为 Storm-2372 的黑客组织所使用,自2024年8月以来,该组织一直活跃,目标是全球多个行业和政府机构。
设备码认证是一种在无法进行交互式网页认证的设备上登录账户的方法。微软安全专家指出,该方法需要用户在另一台设备上输入数字或字母数字代码以完成登录。而在设备码钓鱼攻击中,攻击者会生成一个合法的设备码请求,并诱骗目标在合法的登录页面上输入该代码。一旦得手,攻击者便能获取身份认证和刷新令牌,从而无需密码即可访问目标的账户和数据。
设备码钓鱼攻击流程(来源:微软)
Storm-2372 的攻击手法包括创建模仿即时通讯应用(如 WhatsApp、Signal 和 Microsoft Teams)的诱饵。攻击者冒充知名人士,在发送看似会议邀请的钓鱼邮件之前,先与目标建立联系。这些邀请会提示用户使用设备码进行认证,从而让攻击者成功捕获有效的访问令牌。
攻击者发送的示例信息(来源:微软)
一旦获取了访问令牌,Storm-2372 便会利用它们在被攻破的网络内横向移动,并通过 Microsoft Graph 收集电子邮件。攻击者会搜索包含“用户名”、“密码”和“凭据”等关键词的内容。
钓鱼活动中使用的诱饵示例(来源:微软)
为了防御设备码钓鱼攻击,组织应采取以下措施:
-
限制设备码流程的使用,减少攻击面。
-
加强对用户的网络安全教育,提高其对钓鱼攻击的识别能力。
-
实施强身份验证措施,如多因素认证(MFA)和抗钓鱼攻击的 FIDO 令牌。
-
部署条件访问策略,监控高风险登录行为,并集中管理身份验证流程。
原文始发于微信公众号(FreeBuf):新型设备码钓鱼攻击:利用设备认证窃取身份令牌
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论