微软威胁情报团队发现,一种名为“设备码钓鱼”的复杂网络钓鱼活动,正被用于窃取用户身份认证令牌。这种攻击手段被一个名为 Storm-2372 的黑客组织所使用,自2024年8月以来,该组织一直活跃,目标是全球多个行业和政府机构。
设备码钓鱼的运作机制
设备码认证是一种在无法进行交互式网页认证的设备上登录账户的方法。微软安全专家指出,该方法需要用户在另一台设备上输入数字或字母数字代码以完成登录。而在设备码钓鱼攻击中,攻击者会生成一个合法的设备码请求,并诱骗目标在合法的登录页面上输入该代码。一旦得手,攻击者便能获取身份认证和刷新令牌,从而无需密码即可访问目标的账户和数据。
Storm-2372的攻击策略
Storm-2372 的攻击手法包括创建模仿即时通讯应用(如 WhatsApp、Signal 和 Microsoft Teams)的诱饵。攻击者冒充知名人士,在发送看似会议邀请的钓鱼邮件之前,先与目标建立联系。这些邀请会提示用户使用设备码进行认证,从而让攻击者成功捕获有效的访问令牌。
一旦获取了访问令牌,Storm-2372 便会利用它们在被攻破的网络内横向移动,并通过 Microsoft Graph 收集电子邮件。攻击者会搜索包含“用户名”、“密码”和“凭据”等关键词的内容。
如何防御设备码钓鱼攻击
为了防御设备码钓鱼攻击,组织应采取以下措施:
1. 限制设备码流程的使用,减少攻击面。
2. 加强对用户的网络安全教育,提高其对钓鱼攻击的识别能力。
3. 实施强身份验证措施,如多因素认证(MFA)和抗钓鱼攻击的 FIDO 令牌。
4. 部署条件访问策略,监控高风险登录行为,并集中管理身份验证流程。
来源:微软、FreeBuf
领取优惠
提交成功!