官方域名也可能被利用,微软登录钓鱼出现新变种

发布时间:2026-07-07 14:17

  卡巴斯基昨日发布博文,披露称在 2026 年 4~5 月期间,监测发现有攻击者利用微软身份平台,执行网络钓鱼活动。

  援引博文介绍,在正常流程中,用户需在另一台设备访问verification_uri,例如,再输入user_code完成授权。

  而根据卡巴斯基披露的细节,初始邮件伪装成律师事务所通知,并附带一个受密码保护的 PDF。受害者输入密码后,会看到列有多份文档的落地页,但查看文档需点击页面链接。该链接表面指向合法微软地址,实际借助 URL 参数把用户重定向至仿冒企业法律门户的钓鱼页面。

  该钓鱼页面设置了多重 CAPTCHA,随后引导用户一次性代码。这个代码即攻击者服务器预先从获取的user_code。

  用户点击代码后,页面会自动内容并跳转至微软真实认证页。受害者在微软官方页面完成多因素认证后,攻击者即可获得该会话的access_token、refresh_token和id_token,并读取或发送邮箱邮件、导出 OneDrive 文件、访问 Teams 对话。

排行

精选