技术说明
FBI互联网犯罪投诉中心(IC3)于2026年5月21日发布PSA260521,警告一个名为Kali365的新兴网络钓鱼即服务平台,该平台首次在2026年4月被发现。Kali365使用AI生成的钓鱼诱饵、自动化活动模板和实时受害者跟踪仪表板,使技能水平较低的攻击者能够通过滥用合法的OAuth 2.0设备授权(设备代码)流程来窃取Microsoft 365 OAuth访问令牌和刷新令牌。受害者被诱骗在Microsoft合法验证页面输入攻击者生成的设备代码,在不知情的情况下授权攻击者的设备接收持久性令牌,从而完全绕过MFA。这些令牌可提供对Outlook、Teams、OneDrive和任何SSO连接的SaaS平台的访问权限。
攻击途径
攻击者通过Microsoft的OAuth设备授权许可流程生成设备代码,发送伪装成云生产力服务的钓鱼邮件,其中包含代码和访问microsoft.com/devicelogin的说明。受害者在真实的Microsoft页面完成身份验证(并满足MFA要求);攻击者捕获生成的OAuth访问令牌和刷新令牌,并从他们自己的基础设施中使用这些令牌。无需密码拦截或MFA绕过技术——合法流程本身就是攻击手段。
受影响系统
任何使用Microsoft 365 / Microsoft Entra且启用设备代码身份验证的组织;对于依赖MFA作为防范凭证盗取唯一保护措施的组织风险特别高。辅助攻击模式('Cookie Link')使用AitM代理来捕获会话cookie。
缓解措施
1)通过Microsoft Entra中的条件访问策略限制或阻止设备代码身份验证流程;2)审核现有设备代码使用情况和注册日志;3)阻止身份验证传输策略;4)部署抗钓鱼MFA(FIDO2/passkeys)作为主要因子;5)对异常OAuth令牌颁发和新设备注册发出警报;6)培训用户识别设备代码钓鱼诱饵(主题行:'SharePoint – Document Shared'、'OneDrive – File Shared'、'DocuSign – Signature Required')。向ic3.gov报告事件。