微软威胁情报团队发现,一种名为“设备码钓鱼”的复杂网络钓鱼活动,正被用于窃取用户身份认证令牌。这种攻击手段被一个名为 Storm-2372 的黑客组织所使用,自2024年8月以来,该组织一直活跃,目标是全球多个行业和***机构。
设备码认证是一种在无法进行交互式网页认证的设备上登录账户的方法。微软安全专家指出,该方法需要用户在另一台设备上输入数字或字母数字代码以完成登录。而在设备码钓鱼攻击中,攻击者会生成一个合法的设备码请求,并诱骗目标在合法的登录页面上输入该代码。一旦得手,攻击者便能获取身份认证和刷新令牌,从而无需密码即可访问目标的账户和数据。
Storm-2372> 一旦获取了访问令牌,Storm-2372 便会利用它们在被攻破的网络内横向移动,并通过 Microsoft Graph 收集电子邮件。攻击者会搜索包含“用户名”、“密码”和“凭据”等关键词的内容。
为了防御设备码钓鱼攻击,组织应采取以下措施:
1. 限制设备码流程的使用,减少攻击面。
2. 加强对用户的网络安全教育,提高其对钓鱼攻击的识别能力。
3. 实施强身份验证措施,如多因素认证(MFA)和抗钓鱼攻击的 FIDO 令牌。
4. 部署条件访问策略,监控高风险登录行为,并集中管理身份验证流程。
来源:微软、FreeBuf
猜你喜欢
