什么是设备代码网络钓鱼？为什么俄罗斯间谍如此擅长此道？

这种技术被称为设备代码钓鱼攻击。它利用了“设备代码流”这一身份验证方式，这是在行业通用的OAuth标准中明确规定的。设备代码流的身份验证方法是为了方便将打印机、智能电视等设备连接到账户。由于这些设备通常不支持浏览器，无法像常规身份验证方式那样输入用户名、密码和双因素认证等信息，因此这种方式应运而生。

设备代码流的身份验证并非直接在设备上进行，而是通过显示一个字母或字母数字的设备代码，并附带一个与用户账户相关的链接。用户在一台可以方便登录的电脑或其他设备上打开这个链接并输入代码。远程服务器随后会向输入受限的设备发送令牌，从而将其登录到该账户。

设备授权依赖于两条路径：一条来自请求登录的输入受限设备的应用或代码，另一条来自用户通常用于登录的设备浏览器。

一场有组织的攻击

来自安全公司Volexity和微软的安全报告警告称，代表俄罗斯政府的攻击者自去年8月以来一直在滥用这种身份验证流，针对Microsoft 365账户进行攻击。这些攻击者伪装成可信的高级官员，并通过Signal、WhatsApp和Microsoft Teams等消息应用与目标用户发起对话。被冒充的组织包括：

• 美国国务院
• 乌克兰国防部
• 欧洲议会
• 知名研究机构

攻击者伪装成高层组织发送的消息。来源：微软

在建立起信任关系后，攻击者会要求用户加入Microsoft Teams会议、作为外部Microsoft 365用户访问应用和数据，或加入一个安全聊天应用中的聊天室。请求中包含一个链接和一个访问代码，而这个代码是攻击者通过他们控制的设备生成的。

要求目标用户点击链接并输入设备授权代码的钓鱼诱饵。来源：微软

当目标用户使用浏览器访问该链接并输入代码时，该设备就会获得访问权限，直到身份验证令牌失效为止。

设备授权钓鱼攻击链。来源：微软

“虽然设备代码认证攻击并不新鲜，但它似乎在国家级威胁组织中较为罕见，”Volexity的CEO Steven Adair在周四下午写道。他表示，“这种方法相比其他社交工程和钓鱼攻击的组合，效果要明显得多。似乎这些俄罗斯攻击者有意发起多次攻击，旨在在目标及时采取反制措施之前，迅速滥用这种方法。”

这些攻击之所以如此有效，部分原因在于设备代码授权过程中的用户界面存在模糊性。这使得人们必须特别注意链接和它们指向的页面。微软Azure会提示用户确认自己是否正在登录预期的应用程序。用户应当留意这一提示，并对没有这一选项的消息保持警惕。