请使用手机微信扫码安全登录

切换账号密码登录

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 360商城

推荐论坛版块360粉丝商城360用户活动常见问题
2026年7月,全球软件行业遭遇AI驱动的EvilTokens设备码钓鱼攻击规模化爆发,攻击规模同比激增1380%,成为当月最严峻的安全威胁。  

  • 攻击核心逻辑:

利用OAuth2.0协议的设备授权流(为智能电视、IoT设备设计的合法认证链路),结合生成式AI自动化生成“微软官方设备码”,诱导用户为攻击者控制的第三方客户端授权。该攻击完全复用微软官方登录域名与MFA校验流程,传统邮件安全网关、EDR、域名黑名单等防护手段无法识别,可直接绕过多因素认证(MFA)。
  • 危害与现状:

攻击者通过此方式获取90天有效期的刷新令牌,即便企业员工修改密码,攻击者仍能长期访问Microsoft365邮箱、共享文档、客户数据,实施商业邮件劫持(BEC)、勒索数据出售等牟利行为。监测显示,单轮攻击活动在16天内已入侵344家金融、制造、医疗、政务企业,造成核心数据外泄、资金损失。
  • 防御建议:

需从协议管控、AI检测、令牌治理、人员宣教四维度构建纵深防御:
  • 限制OAuth2.0设备授权的非必要场景使用,通过Microsoft Entra ID配置条件访问策略(如禁止第三方设备授权);
  • 部署AI诱饵语义识别工具,检测设备码请求的个性化特征(如AI生成的诱饵文案);
  • 定期审计Entra ID设备码登录日志,批量回收异常刷新令牌;
  • 开展针对“无伪造页面、无恶意附件”的协议滥用钓鱼专项培训。

共 0 个关于AI赋能新型攻击:EvilTokens设备码钓鱼爆发,绕开MFA实现账号持久劫持的回复 最后回复于 2026-7-4 08:45

评论

直达楼层

您需要登录后才可以回帖 登录 | 注册

本版积分规则

龙云宗主^__^ 超级版主

粉丝:7 关注:2 积分:24796

精华:2 金币:47736 经验:19123

IP属地: 浙江省

最后登录时间:2026-7-4

安防户外红警W4MAX 智能摄像机7C 智能摄像机3C 公测儿童手表T2 摄像机APP V7.0 360WiFi6全屋路由V6 360扫地机器人C50 智能摄像机AP2C 红色警戒标准版公测 公测儿童手表F3 公测儿童手表C1PRO 公测摄像机D916 公测360摄像机变焦宠物版 公测360手表B2 公测360手表8X 公测360可视门铃1C 公测360AI音箱MAX 360家庭防火墙APP公测 公测360手表7X 版主 安全卫士10周年纪念 360粉丝达人勋章

私信 加好友

最新活动

粽叶飘香·共度端午 |360社区端午节活动上

排行榜

热度排行 查看排行
本月
    本月

      扫码添加360粉丝团助手有超多福利等你来哦

      快速回复 返回顶部 返回列表