FBI警告Kali365釣魚即服務竊取Microsoft 365權杖,企業應限制裝置代碼流程
攻擊手法與危害
新型釣魚即服務平臺Kali365,透過惡意電子郵件誘騙使用者點擊連結,並導向偽造的Microsoft官方驗證頁面,引導用戶輸入裝置驗證碼,進而劫持Microsoft 365的OAuth 2.0設備代碼流程。
攻擊者成功取得設備權杖後,即可繞過多因素驗證(MFA),無需密碼即可長期存取Outlook、Teams等Microsoft 365服務,實現無密碼的持久化控制。
FBI警告與企業應對
FBI已發布警告,指出Kali365平臺正對企業用戶發動大規模攻擊,並強調企業應立即檢視其裝置驗證碼流程。
建議企業在Microsoft Entra ID中實施條件式存取原則,僅允許受信任的裝置或網路環境才能使用裝置驗證碼功能,以降低風險。
相關技術背景
- Kali365利用Microsoft 365的設備代碼認證流程(Device Code Flow)進行精準劫持。
- 攻擊鏈從包含HTML附件的惡意郵件開始,執行混淆JavaScript後,將用戶重定向至預填收件人資訊的登錄頁面。
- 此攻擊可跳過多階段登入驗證,成功入侵企業環境。