2 月 15 日消息，微軟公司昨日（2 月 14 日）發布緊急示警，旗下威脅情報中心發現一個名為 Storm-2372 的黑客組織，正利用合法的設備代碼身份驗證流程進行網絡釣魚攻擊，竊取 Microsoft 365 賬戶。

該組織偽裝成在線活動、虛擬會議或安全聊天的邀請，誘騙用戶完成設備代碼身份驗證，從而訪問受害者的 Microsoft 365 服務，竊取敏感信息，并在受害者組織內傳播釣魚信息。

攻擊者從其設備生成合法的設備代碼，并將其發送給受害者。受害者誤以為這是訪問會議或聊天室的 ID，將其輸入到合法的身份驗證頁面。攻擊者通過模仿 Microsoft Teams 等合法服務的邀請郵件或網頁，引導受害者訪問此頁面。

IT之家援引博文介紹，攻擊者利用 Microsoft Graph 搜索受損賬戶中包含“用戶名”、“密碼”、“管理員”、“TeamViewer”、“AnyDesk”、“憑據”、“秘密”、“部門”和“政府”等關鍵詞的信息，并通過電子郵件將其竊取。

此類攻擊利用了合法的設備代碼身份驗證流程，比傳統的釣魚網站或惡意軟件更難檢測。而且，設備代碼釣魚攻擊的認知度較低，使其更具隱蔽性。

微軟建議組織禁用組織 Microsoft 365 賬戶的設備代碼流程，并實施登錄風險策略，自動撤銷可疑登錄的訪問令牌。如果懷疑遭受設備代碼釣魚攻擊，可以通過調用 Microsoft Graph 中的 revokeSignInSessions 撤銷攻擊者獲得的訪問令牌。

【來源：IT之家】