俄罗斯间谍利用设备代码钓鱼技术攻击微软365账户

研究人员发现，俄罗斯间谍正在利用一种名为“设备代码钓鱼”的技术，持续针对广泛的微软365账户进行攻击。这种技术利用了行业标准OAuth中的“设备代码流”认证机制，该机制通常用于打印机、智能电视等无法使用浏览器的设备登录账户。

设备代码流的工作原理

设备代码流认证通过以下步骤进行：

1. 输入受限的设备显示一个字母或数字组成的设备代码，以及一个与用户账户相关的链接。
2. 用户在另一台设备（如电脑）上打开链接并输入代码。
3. 远程服务器向输入受限的设备发送一个令牌，使其登录账户。

设备授权依赖于两条路径：一条是运行在输入受限设备上的应用程序或代码请求登录权限，另一条是用户通常用于登录的设备浏览器。

俄罗斯威胁行为者的攻击手法

安全公司Volexity和微软警告称，自去年8月以来，代表俄罗斯政府的威胁行为者一直在滥用设备代码流，以接管微软365账户。攻击者伪装成受信任的高级官员，通过Signal、WhatsApp和Microsoft Teams等通讯应用与目标用户展开对话。被冒充的组织包括：

• 美国国务院
• 乌克兰国防部
• 欧洲议会
• 知名研究机构

攻击流程

1. 攻击者与目标用户建立关系后，要求其加入Microsoft Teams会议、作为外部用户访问应用程序和数据，或加入安全聊天应用的聊天室。
2. 攻击者提供一个链接和访问代码，这些代码由攻击者控制的设备生成。
3. 目标用户使用授权访问微软365账户的浏览器访问链接并输入代码，攻击者的设备即可获得访问权限，且该权限在认证令牌有效期内持续有效。

攻击的有效性

Volexity CEO Steven Adair指出，尽管设备代码认证攻击并不新鲜，但由国家支持的威胁行为者很少使用这种方法。这种攻击比多年来其他社会工程和鱼叉式钓鱼攻击更为有效，可能是因为用户界面在设备代码授权过程中的模糊性。用户应仔细检查链接和页面，微软Azure会提示用户确认他们正在登录预期的应用程序，用户应寻找此提示并对缺少此选项的消息保持警惕。

防范措施

微软和Volexity提供了多种步骤，帮助用户避免成为此类攻击的受害者。用户应保持警惕，仔细检查所有请求的链接和页面，确保他们正在登录预期的应用程序。