駭客組織 ShinyHunters 結合裝置驗證碼與語音網釣，竊取微軟 Entra 帳號

攻擊手法與目標

近期傳出駭客組織 ShinyHunters 針對科技、製造業及金融機構發動新型攻擊，結合「裝置驗證碼（Device Code）」與「語音網釣（Vishing）」手法，企圖竊取受害組織的 Microsoft Entra（舊稱 Azure AD）帳號。

攻擊流程解析

該組織透過語音電話冒充企業 IT 人員，誘騙員工提供單一登入（SSO）憑證或裝置驗證碼。過程中，駭客濫用 OAuth 2.0 的裝置授權流程，一旦取得驗證碼，即可遠端登入受害者的 Entra 帳號，進而竊取內部資料與電子郵件。

相關警告與防護建議

一月底，Okta 與 Google 已針對此類攻擊提出警告。微軟亦建議企業應強化身份識別安全，包括引進多因素驗證機制（MFA）、查核帳號權限、刪除未使用帳號，以及啟用零信任機制，以應對結合語音電話與網路釣魚的最新威脅。