网络罪犯突破 MFA 防护：攻击者如何入侵微软账户？

Proofpoint安全研究人员发现一种新型凭证钓鱼攻击手段，黑客通过恶意OAuth应用结合多重重定向链劫持Microsoft账户，成功率超50%。2025年至今，该攻击已影响超900个Microsoft 365环境中的近3000个账户。

攻击流程解析

1. 钓鱼邮件启动：攻击者利用被入侵邮箱发送伪装成商业合作请求的钓鱼邮件（如报价申请、合同协议），内容针对目标行业定制化设计，曾仿冒RingCentral、DocuSign等企业服务，甚至伪装小型航空企业ILSMart。
2. 恶意应用授权陷阱：邮件内链接导向真实的Microsoft登录授权页面，诱导用户批准伪装成Adobe、DocuSign等合法服务的恶意OAuth应用请求。这些应用仅申请基础权限（如查看个人资料），以降低用户警惕性。
3. 多重重定向劫持：无论用户点击“接受”或“取消”授权，均被重定向至验证码中间页，随后跳转至伪造的Microsoft登录页面。该页面实时窃取输入的凭证及双重认证会话令牌。

技术特征与规模

• 攻击链依赖钓鱼即服务（PhaaS）平台Tycoon构建，已发现超50个恶意应用参与攻击，其中4个仿冒Adobe、5个仿冒DocuSign，其余使用无关名称混淆视听。
• 恶意应用在授权后配置重定向规则，通过中间域名隐藏最终钓鱼页面，利用CAPTCHA页面增强欺骗性，诱使用户误认为处于合法流程中。

防御措施与行业响应

微软宣布调整Microsoft 365默认设置：普通用户向第三方应用授予账户权限需经管理员审批，以阻断恶意应用的权限获取路径。Proofpoint强调用户需时刻验证当前域名真实性，避免在重定向过程中提交敏感信息。

趋势警示：此类结合合法OAuth框架与社交工程的攻击链正成为犯罪团伙新标准，未来或将持续演化以绕过检测机制。

消息来源：cybernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；