利用微软官方域名,卡巴斯基披露新型钓鱼攻击
2026年07月07日 13:49
IT之家 7 月 7 日消息,卡巴斯基昨日(7 月 6 日)发布博文,披露称在 2026 年 4~5 月期间, 监测发现有攻击者利用微软身份平台(Microsoft Identity Platform),执行网络钓鱼活动。
攻击者利用该平台 OAuth 2.0 设备授权授予(Device Authorization Grant)流程,诱导用户在微软官方页面输入一次性代码,并在认证完成后窃取 access_token 、 refresh_token 和 id_token 。
IT之家援引博文介绍,在正常流程中,用户需在另一台设备访问 verification_uri ,例如 https://microsoft.com/devicelogin ,再输入 user_code 完成授权。
客户端随后轮询 https://login.microsoftonline.com/ {tenant}/oauth2/v2.0/token ,并以 urn:ietf:params:oauth:grant-type:device_code 作为 grant_type 请求令牌。若用户尚未确认,服务器返回 authorization_pending 或 slow_down 。
认证完成后,服务器向应用下发 access_token 、 refresh_token 、 id_token 等 Tokens,当前 access_token 到期后,设备可用 refresh_token 静默换取新 Token, access_token 的典型有效期为 1 小时。
而根据卡巴斯基披露的细节,初始邮件伪装成律师事务所通知,并附带一个受密码保护的 PDF。受害者输入密码后,会看到列有多份文档的落地页,但查看文档需点击页面链接。该链接表面指向合法微软地址,实际借助 URL 参数把用户重定向至仿冒企业法律门户的钓鱼页面。
主题:卡巴斯基