2026年7月,全球软件行业遭遇AI驱动的EvilTokens设备码钓鱼攻击规模化爆发,攻击规模同比激增1380%,成为当月最严峻的安全威胁。
利用OAuth2.0协议的设备授权流(为智能电视、IoT设备设计的合法认证链路),结合生成式AI自动化生成“微软官方设备码”,诱导用户为攻击者控制的第三方客户端授权。该攻击完全复用微软官方登录域名与MFA校验流程,传统邮件安全网关、EDR、域名黑名单等防护手段无法识别,可直接绕过多因素认证(MFA)。
攻击者通过此方式获取90天有效期的刷新令牌,即便企业员工修改密码,攻击者仍能长期访问Microsoft365邮箱、共享文档、客户数据,实施商业邮件劫持(BEC)、勒索数据出售等牟利行为。监测显示,单轮攻击活动在16天内已入侵344家金融、制造、医疗、政务企业,造成核心数据外泄、资金损失。
需从协议管控、AI检测、令牌治理、人员宣教四维度构建纵深防御:
- 限制OAuth2.0设备授权的非必要场景使用,通过Microsoft Entra ID配置条件访问策略(如禁止第三方设备授权);
- 部署AI诱饵语义识别工具,检测设备码请求的个性化特征(如AI生成的诱饵文案);
- 定期审计Entra ID设备码登录日志,批量回收异常刷新令牌;
- 开展针对“无伪造页面、无恶意附件”的协议滥用钓鱼专项培训。
|
|
|
|
|
|
评论
直达楼层