資安院發布提醒:微軟資安團隊近期揭露,攻擊者透過名為 EvilTokens(釣魚即服務,Phishing-as-a-Service, PhaaS)平台,濫用微軟裝置代碼登入(Device Code Flow)機制,誘導使用者「自行完成 MFA 驗證與授權」,進而取得合法存取權杖Token。
駭客利用微軟合法登入流程,搭配人因信任弱點發動社交工程攻擊,攻擊者先申請裝置代碼,再用高擬真釣魚郵件引導員工到微軟官方頁面輸入(誤以為是在協助 Teams 會議設備或公司裝置登入)代碼並完成多因子驗證(MFA)。一旦驗證成功,Token便落入攻擊者手中,造成 OneDrive、Outlook 等企業資料外洩。
此外,EvilTokens 結合 AI 自動生成釣魚內容,大幅降低攻擊成本,讓低技術門檻攻擊者能快速發動大規模社交工程攻擊。
🔍重點摘要
• 攻擊核心:濫用「合法」授權流程,不必竊取密碼,即可取得合法存取權限。
• 關鍵風險:使用者完成的 MFA 驗證,可能被攻擊者間接利用,且難以察覺。
• 攻擊擴散原因:EvilTokens 平台化 + AI 客製化釣魚郵件,大幅提升成功率與規模化能力。
• 攻擊手法:攻擊者向微軟申請裝置代碼,發送釣魚郵件,引導員工在微軟官方頁面完成MFA,進而取得Outlook、OneDrive 等雲端服務存取權限。
🛡️資安院三大防護建議:
• 限縮裝置代碼使用情境
• 以條件式存取(Conditional Access)限制/封鎖高風險流程並做異常監控
• 加強員工對授權型社交工程(Social Engineering)辨識訓練
🗣️TSC德欣寰宇結論
1️⃣ T(Threat,威脅)
攻擊已從「偷密碼」轉為「偷授權」,單靠MFA 已不足以因應新型態身分攻擊。
2️⃣ S(Scenario,情境)
攻擊路徑高度貼近日常 IT 支援情境(會議室設備、Teams 登入失效),使用者難以察覺異常,成功率高。
3️⃣ C(Control,控制)
必須把防線前移到「授權流程治理」:限制 Device Code Flow、強化條件式存取與即時撤銷授權、持續加強員工社交工程防範宣導和演練。
📌此威脅本質是「合法流程被惡意利用」,企業需從流程控管+異常監控+人員資安意識三方面同步強化防護。
想接收的最新消息與電子報嗎?
請留下您的聯絡資訊,我們將不定期與您分享重要的最新資訊!