2 月 15 日消息,微软公司昨日(2 月 14 日)发布紧急示警,旗下威胁情报中心发现一个名为 Storm-2372 的黑客组织,正利用合法的设备代码身份验证流程进行网络钓鱼攻击,窃取 Microsoft 365 账户。
该组织伪装成在线活动、虚拟会议或安全聊天的邀请,诱骗用户完成设备代码身份验证,从而访问受害者的 Microsoft 365 服务,窃取敏感信息,并在受害者组织内传播钓鱼信息。
攻击者从其设备生成合法的设备代码,并将其发送给受害者。受害者误以为这是访问会议或聊天室的 ID,将其输入到合法的身份验证页面。攻击者通过模仿 Microsoft Teams 等合法服务的邀请邮件或网页,引导受害者访问此页面。
IT之家援引博文介绍,攻击者利用 Microsoft Graph 搜索受损账户中包含“用户名”、“密码”、“管理员”、“TeamViewer”、“AnyDesk”、“凭据”、“秘密”、“部门”和“政府”等关键词的信息,并通过电子邮件将其窃取。
此类攻击利用了合法的设备代码身份验证流程,比传统的钓鱼网站或恶意软件更难检测。而且,设备代码钓鱼攻击的认知度较低,使其更具隐蔽性。
微软建议组织禁用组织 Microsoft 365 账户的设备代码流程,并实施登录风险策略,自动撤销可疑登录的访问令牌。如果怀疑遭受设备代码钓鱼攻击,可以通过调用 Microsoft Graph 中的 revokeSignInSessions 撤销攻击者获得的访问令牌。
【来源:IT之家】
